Configurar publicação e armazenamento

O Certificate Authority Service (serviço de CA) usa buckets do Cloud Storage para publicar certificados de CA e listas de revogação de certificados (CRLs) para sua infraestrutura de chave pública (PKI).

Este documento descreve como configurar os buckets do Cloud Storage usados pelo serviço de CA para publicar certificados de CA e CRLs para sua PKI. É possível usar um bucket gerenciado pelo Google ou pelo cliente para ter um controle mais direto. Para mais informações sobre buckets do Cloud Storage, consulte Sobre buckets do Cloud Storage. Este documento também aborda o gerenciamento das configurações de publicação, como ativar ou desativar a publicação e escolher um formato de codificação.

Usar um bucket gerenciado pelo Google

O CA Service gerencia automaticamente o ciclo de vida dos buckets do Cloud Storage. Você não recebe uma cobrança separada por esses recursos.

Por padrão, quando você cria um pool de ACs, o serviço de AC cria e gerencia um bucket do Cloud Storage com as seguintes características:

• Local:o bucket está no mesmo projeto e local que o pool.
• Armazenamento centralizado:o bucket armazena certificados de CA e CRLs para todas as CAs no pool.
• Leitura pública:os objetos são acessíveis automaticamente aos clientes que usam extensões de acesso a informações da autoridade (AIA) e ponto de distribuição de CRL (CDP).

Vantagens de um bucket gerenciado pelo Google

Um bucket gerenciado pelo Google simplifica o gerenciamento. Quando você cria um pool de CAs, o serviço de CA cria e gerencia automaticamente o bucket para publicar certificados de CA e CRLs. Você não precisa configurar outros buckets do Cloud Storage.

Considerações sobre o VPC Service Controls

Um perímetro do VPC Service Controls restringe o acesso a buckets do Cloud Storage gerenciados pelo Google a clientes dentro desse perímetro. Os URLs de AIA e CDP para certificados de CA e CRLs não podem ser acessados de fora do perímetro. Essa falta de acessibilidade pode causar falhas na validação de certificados para clientes fora do perímetro.

Para informações sobre como criar uma AC raiz, consulte Criar uma AC raiz. Para informações sobre como criar uma AC subordinada, consulte Criar uma AC subordinada. Para informações sobre como escolher um algoritmo de chave, consulte Escolher um algoritmo de chave.

Usar um bucket gerenciado pelo cliente

Os recursos gerenciados pelo cliente estão disponíveis apenas para CAs no nível Enterprise. É preciso criar e configurar esses recursos antes de criar a CA e excluí-los quando a CA for excluída. Você recebe uma cobrança direta por esses recursos.

É possível especificar buckets do Cloud Storage no seu projeto para publicar certificados de CA e CRLs para um pool de CAs. Isso oferece controle direto sobre a configuração do bucket, incluindo local, classe de armazenamento, políticas de ciclo de vida e controles de acesso.

Vantagens de um bucket gerenciado pelo cliente

Usar um bucket gerenciado pelo cliente oferece controle direto sobre seu bucket de armazenamento. É possível atualizar atributos, como gerenciamento de acesso, para atender aos requisitos da organização.

Para criar uma AC com um bucket gerenciado pelo cliente, você precisa ter acesso administrativo a ele para conceder o acesso adequado ao serviço de AC. Para mais informações, consulte Agente de serviço do CA Service.

Local dos buckets do Cloud Storage

Crie buckets do Cloud Storage gerenciados pelo cliente no mesmo local dos recursos do serviço de CA.

Por exemplo, se a CA estiver em us-west1, você poderá criar os buckets do Cloud Storage em qualquer região única dos EUA (como us-west1 ou us-east1), na região birregional NAM4 ou na multirregião US. Para ver uma lista de locais disponíveis, consulte Locais do Cloud Storage.

Antes de começar

• Verifique se há um bucket do Cloud Storage. Consulte Criar um bucket.

• Verifique se o bucket está acessível à conta de serviço do CA Service.

Funções exigidas

Para garantir que a conta de serviço tenha as permissões necessárias para gravar e gerenciar objetos (especificamente, certificados de AC e CRLs) e ativar o monitoramento, peça ao administrador para conceder os seguintes papéis do IAM à conta de serviço no bucket do Cloud Storage gerenciado pelo cliente:

• Para gravar e gerenciar certificados de CA e CRLs: Administrador de objetos do Storage (roles/storage.objectAdmin)
• Para permitir a integração do Cloud Monitoring com o bucket: Leitor de bucket legado do Storage (roles/storage.legacyBucketReader)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

O administrador também pode conceder à conta de serviço as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

Configurar a CA para usar o bucket

Para especificar um bucket do Cloud Storage gerenciado pelo cliente ao criar uma autoridade certificadora, use a flag --bucket com os comandos gcloud privateca roots create ou gcloud privateca subordinates create.

Para detalhes sobre como criar ACs, consulte:

• Criar um CA raiz
• Criar uma CA subordinada

Gerenciar o acesso a certificados e CRLs

Ao usar um bucket gerenciado pelo cliente, você pode controlar as permissões de acesso dele. Os certificados da AC e as CRLs publicadas pelo CA Service herdam as permissões padrão de objeto do bucket, a menos que você configure de outra forma. Para fornecer acesso público aos URLs de acesso às informações da autoridade certificadora (AIA) e ponto de distribuição da lista de certificados revogados (CRL, na sigla em inglês) (CDP), torne os objetos publicados legíveis publicamente.

Por padrão, o CA Service usa URLs HTTP nas extensões AIA e CDP para referenciar certificados de CA e CRLs. Use URLs HTTP para ter a máxima compatibilidade com o cliente. Alguns clientes não são compatíveis com HTTPS em extensões AIA ou CDP. As assinaturas digitais garantem a integridade e a autenticidade dos certificados de CA e das LCRs.

Para mais informações, consulte Visão geral do controle de acesso e Como definir permissões de objeto na documentação do Cloud Storage.

Gerenciar configurações de publicação

Por padrão, quando você cria um pool de CAs, o CA Service ativa a publicação do certificado de CA e da CRL em buckets do Cloud Storage. É possível atualizar essas configurações para ativar ou desativar a publicação ou mudar o formato de codificação.

Ativar a publicação para um pool de ACs

Para ativar a publicação de certificado de CA e CRL para todas as CAs em um pool de CAs, faça o seguinte:

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert

Para saber mais sobre como ativar a publicação de CRLs para revogar certificados, consulte Revogação de certificados.

Desativar a publicação de um pool de CAs

Para desativar a publicação de certificado de CA e CRL para todas as CAs em um pool de CAs, faça o seguinte:

gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert

Escolher um formato de codificação

Para atualizar o formato de codificação dos certificados de CA e das CRLs publicados, faça o seguinte:

gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

• POOL_ID: o nome do pool de ACs

• LOCATION: o local do pool de ACs. Para conferir uma lista de locais disponíveis, consulte Locais do serviço de CA.

• PUBLISHING_ENCODING_FORMAT: o formato de codificação pode ser PEM ou DER.

  Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.

A seguir

• Saiba como criar um pool de CA.
• Saiba como criar uma CA raiz.
• Saiba como criar uma CA subordinada.
• Saiba como criar uma CA subordinada de uma CA externa.