Certificate Authority Service ist ein skalierbarer, Air-Gap-fähiger Google Distributed Cloud-Dienst (GDC), mit dem Sie die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können. Private Zertifizierungsstellen sind eine der gängigsten Methoden zur Authentifizierung von Nutzern, Computern oder Diensten über Netzwerke. Private Zertifizierungsstellen stellen digitale Zertifikate für Entitätsidentität, Ausstelleridentität und kryptografische Signaturen aus.
Mit CA Service können Sie sowohl Stamm-CAs als auch untergeordnete CAs erstellen:
- Stamm-CAs: Die Stamm-CA hat ein selbst signiertes Zertifikat. Dieser Zertifikatstyp befindet sich am Anfang der Zertifikatskette.
- Untergeordnete CAs: Der Unterzeichner des CA-Zertifikats ist entweder eine andere CA, die im CA Service erstellt wurde, oder eine externe CA.
CA Service bietet die folgenden Funktionen:
Zertifizierungsstellen verwalten:Sie können Ihre eigenen Root-Zertifizierungsstellen und untergeordneten Zertifizierungsstellen erstellen und verwalten. Untergeordnete Zertifizierungsstellen können mit einer Stamm-CA verkettet werden, die im Dienst verwaltet wird, oder mit einer externen Stamm-CA.
Zertifikate ausstellen:Zertifikate für Ihre Anwendungen und Dienste anfordern. Mit CA Service können Zertifikate über ACME-fähige oder ACME-deaktivierte CAs über eine benutzerdefinierte
CertificateRequest-Ressource ausgestellt werden.Vordefinierte Zertifikatsvorlagen verwenden:Mit vordefinierten Zertifikatsvorlagen können Sie die Zertifikatserstellung vereinfachen und standardisieren. Diese Vorlagen bieten vorkonfigurierte X.509-Parameter, die auf gängige Anwendungsfälle zugeschnitten sind, und erzwingen die Kompatibilität mit dem zulässigen Profil der ausstellenden Zertifizierungsstelle.
Zertifikate widerrufen:Zertifikate vor ihrem geplanten Ablaufdatum ungültig machen, wenn sie nicht mehr vertrauenswürdig sind (z. B. aufgrund eines Schlüsseldiebstahls). Der CA-Dienst ermöglicht dies, indem er Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) veröffentlicht, die Clients prüfen können, um den Status eines Zertifikats zu bestätigen.
Nächste Schritte
- Stamm-CA erstellen
- Verwaltete untergeordnete Zertifizierungsstelle erstellen
- Zertifikat anfordern
- Vordefinierte Zertifikatsvorlagen
- Zertifikat widerrufen