Configurare la pubblicazione e l'archiviazione

Certificate Authority Service (CA Service) utilizza i bucket Cloud Storage per pubblicare i certificati CA e gli elenchi di revoche dei certificati (CRL) per la tua infrastruttura a chiave pubblica (PKI).

Questo documento descrive come configurare i bucket Cloud Storage utilizzati da CA Service per pubblicare i certificati CA e i CRL per la tua PKI. Per un controllo più diretto, puoi utilizzare un bucket gestito da Google o un bucket gestito dal cliente. Per saperne di più sui bucket Cloud Storage, consulta Informazioni sui bucket Cloud Storage. Questo documento illustra anche la gestione delle impostazioni di pubblicazione, ad esempio l'attivazione o la disattivazione della pubblicazione e la scelta di un formato di codifica.

Utilizzare un bucket gestito da Google

CA Service gestisce automaticamente il ciclo di vita dei bucket Cloud Storage. Queste risorse non vengono fatturate separatamente.

Per impostazione predefinita, quando crei un pool di CA, CA Service crea e gestisce un bucket Cloud Storage con le seguenti caratteristiche:

• Località: il bucket si trova nello stesso progetto e nella stessa località del pool.
• Archiviazione centralizzata: il bucket archivia i certificati CA e i CRL per tutte le CA nel pool di CA.
• Leggibile pubblicamente: gli oggetti sono accessibili automaticamente ai client che utilizzano le estensioni Authority Information Access (AIA) e CRL Distribution Point (CDP).

Vantaggi di un bucket gestito da Google

Un bucket gestito da Google semplifica la gestione. Quando crei un pool di CA, CA Service crea e gestisce automaticamente il bucket per la pubblicazione dei certificati CA e dei CRL. Non è necessario configurare altri bucket Cloud Storage.

Considerazioni sui Controlli di servizio VPC

Un perimetro Controlli di servizio VPC limita l'accesso ai bucket Cloud Storage gestiti da Google ai client all'interno di questo perimetro. Gli URL AIA e CDP per i certificati CA e i CRL non sono accessibili dall'esterno del perimetro. Questa mancanza di accessibilità può causare errori di convalida dei certificati per i client esterni al perimetro.

Per informazioni sulla creazione di una CA radice, consulta Creare una CA radice. Per informazioni sulla creazione di una CA subordinata, consulta Creare una CA subordinata. Per informazioni sulla scelta di un algoritmo chiave, consulta Scegliere un algoritmo chiave.

Utilizzare un bucket gestito dal cliente

Le risorse gestite dal cliente sono disponibili solo per le CA nel livello Enterprise. Devi creare e configurare queste risorse prima di creare la CA, quindi eliminarle quando elimini la CA. Queste risorse vengono fatturate direttamente.

Puoi specificare i bucket Cloud Storage esistenti nel tuo progetto per la pubblicazione dei certificati CA e dei CRL per un pool di CA. In questo modo puoi controllare direttamente la configurazione del bucket, inclusi la località, la classe di archiviazione, le policy del ciclo di vita e i controlli degli accessi.

Vantaggi di un bucket gestito dal cliente

L'utilizzo di un bucket gestito dal cliente consente di controllare direttamente il bucket di archiviazione. Puoi aggiornare gli attributi, ad esempio la gestione degli accessi, per soddisfare i requisiti della tua organizzazione.

Per creare una CA con un bucket gestito dal cliente, devi disporre dell'accesso amministrativo al bucket per concedere l'accesso appropriato a CA Service. Per saperne di più, consulta Service agent di CA Service.

Località dei bucket Cloud Storage

Crea bucket Cloud Storage gestiti dal cliente nella stessa località delle risorse CA Service.

Ad esempio, se la tua CA si trova in us-west1, puoi creare i bucket Cloud Storage in qualsiasi singola regione degli Stati Uniti (ad esempio us-west1 o us-east1), nella regione a due regioni NAM4 o nella multi-regione US. Per un elenco delle località disponibili, consulta Località di Cloud Storage.

Prima di iniziare

• Assicurati che esista un bucket Cloud Storage. Consulta Creare un bucket.

• Assicurati che il bucket sia accessibile al account di servizio di CA Service.

Ruoli obbligatori

Per assicurarti che il account di servizio disponga delle autorizzazioni necessarie per scrivere e gestire gli oggetti (in particolare, i certificati CA e i CRL) e abilitare il monitoraggio, chiedi all'amministratore di concedere i seguenti ruoli IAM al account di servizio nel bucket Cloud Storage gestito dal cliente:

• Per scrivere e gestire i certificati CA e i CRL: Storage Object Admin (roles/storage.objectAdmin)
• Per consentire l'integrazione di Cloud Monitoring per il bucket: Storage Legacy Bucket Reader (roles/storage.legacyBucketReader)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al account di servizio le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Configurare la CA per utilizzare il bucket

Per specificare un bucket Cloud Storage gestito dal cliente quando crei un'autorità di certificazione, utilizza il flag --bucket con i comandi gcloud privateca roots create o gcloud privateca subordinates create.

Per informazioni dettagliate sulla creazione delle CA, consulta:

• Creare una CA radice
• Creare una CA subordinata

Gestire l'accesso a certificati e CRL

Quando utilizzi un bucket gestito dal cliente, puoi controllarne le autorizzazioni di accesso. I certificati CA e i CRL pubblicati da CA Service ereditano le autorizzazioni predefinite degli oggetti del bucket, a meno che non li configuri diversamente. Per fornire l'accesso pubblico agli URL AIA (Authority Information Access) e CDP (CRL Distribution Point) dell'autorità di certificazione, rendi gli oggetti pubblicati leggibili pubblicamente.

Per impostazione predefinita, CA Service utilizza gli URL HTTP nelle estensioni AIA e CDP per fare riferimento ai certificati CA e ai CRL. Utilizza gli URL HTTP per la massima compatibilità con i client. Alcuni client non supportano HTTPS nelle estensioni AIA o CDP. Le firme digitali garantiscono l'integrità e l'autenticità dei certificati CA e dei CRL.

Per saperne di più, consulta Panoramica del controllo degli accessi e Impostare le autorizzazioni degli oggetti nella documentazione di Cloud Storage.

Gestire le impostazioni di pubblicazione

Per impostazione predefinita, quando crei un pool di CA, CA Service abilita la pubblicazione dei certificati CA e dei CRL nei bucket Cloud Storage. Puoi aggiornare queste impostazioni di pubblicazione per abilitare o disabilitare la pubblicazione o modificare il formato di codifica.

Abilitare la pubblicazione per un pool di CA

Per abilitare la pubblicazione dei certificati CA e dei CRL per tutte le CA in un pool di CA:

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert

Per saperne di più sull'attivazione della pubblicazione dei CRL per la revoca dei certificati, consulta Revocare i certificati.

Disabilitare la pubblicazione per un pool di CA

Per disabilitare la pubblicazione dei certificati CA e dei CRL per tutte le CA in un pool di CA:

gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert

Scegliere un formato di codifica

Per aggiornare il formato di codifica dei certificati CA e dei CRL pubblicati:

gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

• POOL_ID: il nome del pool di CA

• LOCATION: la località del pool di CA. Per un elenco delle località disponibili, consulta Località di CA Service

• PUBLISHING_ENCODING_FORMAT: il formato di codifica può essere PEM o DER

  Per saperne di più sul comando gcloud privateca pools update, consulta gcloud privateca pools update.

Passaggi successivi

• Scopri come creare un pool di CA.
• Scopri come creare una CA radice.
• Scopri come creare una CA subordinata.
• Scopri come creare una CA subordinata da una CA esterna.