Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Menentukan setelan certificate authority
Halaman ini memberikan informasi tentang berbagai setelan certificate authority (CA).
Setelan permanen
Anda tidak dapat mengubah setelan yang disebutkan di bagian ini setelah membuat CA.
Setelan khusus layanan
Jenis CA
CA Service memungkinkan Anda membuat root CA dan subordinate CA.
| Root CA |
CA subordinat |
CA root adalah CA yang ditandatangani sendiri.
Pihak yang perlu mengautentikasi
sertifikat yang dibuat dari root CA
(pihak tepercaya) harus mengetahui sertifikat
CA-nya terlebih dahulu. Sertifikat root CA
sering disebut sebagai
anchor kepercayaan.
Mengubah root CA
sering kali sulit. Untuk
mengubah CA root, Anda harus
memperbarui semua pihak tepercaya terlebih dahulu tentang
anchor kepercayaan baru. Jika tidak, mereka
tidak akan dapat mengautentikasi
sertifikat dari root CA
baru.
Root CA tidak dapat
dicabut menggunakan CRL dari
CA penerbit karena root CA
ditandatangani sendiri. Untuk mencabut CA root,
Anda harus menghapusnya dari penyimpanan
kepercayaan setiap klien yang
mempercayainya. Proses ini dapat memakan waktu lama
dan melelahkan. Oleh karena itu, sebaiknya
lindungi root CA. |
Subordinate CA adalah CA yang
ditandatangani oleh root CA atau
subordinate CA lainnya. Dengan mengikuti rantai
CA subordinasi, rantai tersebut selalu
berakhir dengan root CA.
Pihak
yang mengandalkan yang hanya mengetahui root CA
juga dapat secara implisit memercayai
CA subordinasi yang menjadi rantai ke
sertifikat root CA
yang dipercaya secara eksplisit. CA subordinat hanya dapat
dipercaya jika pihak tepercaya
dapat memvalidasi rantai sertifikat secara kriptografis
yang membentuk
jalur ke sertifikat
root CA.
Rantai
yang berisi root dan satu atau beberapa
CA subordinat dapat menyertakan CA yang
dikelola di Layanan CA
dan CA yang tidak dikelola.
|
Kunci Cloud KMS
Secara default, CA baru menggunakan kunci Cloud Key Management Service (Cloud KMS) yang dikelola Google.
Anda dapat memilih algoritma kunci tertentu untuk kunci Cloud KMS yang dikelola Google. Atau, Anda dapat memberikan akses Layanan CA
ke kunci yang sudah ada. Untuk informasi selengkapnya, lihat
Memilih algoritma kunci.
Untuk informasi selengkapnya tentang model pengelolaan untuk kunci Cloud KMS dan
bucket Cloud Storage, lihat Mengelola resource.
Bucket Cloud Storage
Secara default, CA Service membuat bucket Cloud Storage baru yang dikelola Google di lokasi yang sama dengan CA. Anda juga dapat memilih untuk menggunakan bucket yang dikelola sendiri yang ada atau membuat bucket baru. Untuk meminimalkan latensi saat memublikasikan CRL, sebaiknya buat bucket Cloud Storage di lokasi yang sama dengan CA Anda.
Untuk mengetahui informasi selengkapnya, lihat Mengelola fasilitas.
Setelan sertifikat CA
Setelan berikut langsung tercermin dalam sertifikat CA itu sendiri:
| Setelan |
Deskripsi |
| Sepanjang waktu
|
Menentukan masa berlaku CA. Masa berlaku adalah jumlah waktu, mulai
dari pembuatan CA, yang berlaku untuk CA. |
| Subjek
|
CA dapat menentukan nama pembeda dan nama alternatif subjek. Dalam banyak kasus, kolom ini hanya bersifat informatif.
Namun, pihak tepercaya dapat memilih untuk memperlakukan sertifikat yang dikeluarkan
dari CA dengan atribut subjek tertentu secara berbeda.
Jika ingin menentukan nama alternatif subjek untuk sertifikat CA, Anda harus menggunakan Google Cloud CLI. |
Setelan CA opsional
Setelan CA berikut bersifat opsional. Anda dapat mengubah setelan berikut
setelah membuat CA.
| Setelan |
Deskripsi |
| Label
|
CA dapat memiliki satu atau beberapa label pengguna yang terpasang. Label tidak
memiliki arti semantik untuk CA Service. |
Langkah selanjutnya
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2025-09-02 UTC.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-09-02 UTC."],[[["\u003cp\u003eCA Service allows the creation of both root CAs, which are self-signed and require prior knowledge by relying parties, and subordinate CAs, which are signed by a root or another subordinate CA and form a chain back to a trusted root.\u003c/p\u003e\n"],["\u003cp\u003eNew CAs use a Google-managed Cloud KMS key by default, but you can also select a specific key algorithm or utilize an existing key, providing flexibility in key management.\u003c/p\u003e\n"],["\u003cp\u003eWhile CA Service automatically creates a new Google-managed Cloud Storage bucket, users have the option to utilize a pre-existing or create a new, self-managed bucket, allowing for customized storage management.\u003c/p\u003e\n"],["\u003cp\u003eCA certificate settings such as lifetime and subject are reflected in the CA's own certificate, impacting its validity period and how it's identified.\u003c/p\u003e\n"],["\u003cp\u003eOptional CA settings, including user labels, can be modified post-creation, providing flexibility for organization and management without impacting core functionality.\u003c/p\u003e\n"]]],[],null,["# Determine certificate authority settings\n========================================\n\nThis page provides information about the various settings of a certificate authority (CA).\n\nPermanent settings\n------------------\n\nYou cannot change the settings mentioned in this section after creating the CA.\n\n### Service-specific settings\n\n**Type of CA**\n\nCA Service lets you create both root CAs and subordinate CAs.\n\n**Cloud KMS key**\n\nBy default, new CAs use a Google-managed Cloud Key Management Service (Cloud KMS) key.\nYou can choose a specific key algorithm for the\nGoogle-managed Cloud KMS key. Alternatively, you can grant CA Service\naccess to a key that already exists. For more information, see\n[Choose a key algorithm](/certificate-authority-service/docs/choosing-key-algorithm).\n\nFor more information about the management models for Cloud KMS keys and\nCloud Storage buckets, see [Manage resources](/certificate-authority-service/docs/managed-resources).\n\n**Cloud Storage bucket**\n\nBy default, CA Service creates a new Google-managed Cloud Storage bucket\nin the same location as the CA. You can also choose to use an existing self-managed\nbucket or [create a new bucket](/storage/docs/creating-buckets). To minimize latency while publishing CRLs, we\nrecommend creating the Cloud Storage bucket in the same location as your CA.\nFor more information, see [Manage resources](/certificate-authority-service/docs/managed-resources).\n\nCA certificate settings\n-----------------------\n\nThe following settings are directly reflected in the CA's own certificate:\n\nOptional CA settings\n--------------------\n\nThe following CA settings are optional. You can change the following setting\nafter creating the CA.\n\nWhat's next\n-----------\n\n- Learn how to [create a root CA](/certificate-authority-service/docs/creating-certificate-authorities).\n- Learn how to [create a subordinate CA](/certificate-authority-service/docs/create-subordinate-ca).\n- Learn how to [create a subordinate CA from an external CA](/certificate-authority-service/docs/create-sub-ca-from-external-ca)."]]
