Certificate Authority Service 概念
本页介绍了 Certificate Authority Service (CA Service) 中的部分关键概念。
资源
CA Service 包含以下资源:
证书授权机构池
证书授权机构池(CA 池)是 CA Service。CA 池是证书的容器 授权中心和证书在 CA 池中设置 Identity and Access Management 条件、颁发政策和其他配置。证书颁发也是通过 CA 池进行的,CA 池会将证书请求负载分布到 CA 池中的 CA 中。
证书授权机构
证书授权机构 (CA) 资源表示单个证书 用于对证书进行签名的授权机构。在 CA Service 中 可以同时创建根 CA 和从属 CA。根 CA 有一个自签名 位于证书链顶部。对于从属 CA, CA 证书的签名者可能是 或外部 CA。在后一种情况下,CA Service 生成一个证书签名请求 (CSR),该请求必须由外部 加拿大。您可以使用 Google Cloud CLI 或 Google Cloud 控制台 以通过上传已签名的 PEM 编码证书链来激活新的 CA。
证书
证书是由证书签发的已签名的 X.509 证书 授权。
证书吊销列表
证书吊销列表 (CRL) 包含证书的序列号 已撤消且不应再信任的项目。CRL 是嵌套在 CA 下的云资源,但也可以以 PEM 或 DER 编码形式发布到具有可公开访问的基于 HTTP 的网址的 Cloud Storage 存储桶。
证书模板
证书模板是顶级资源,定义了一个不同的 或证书颁发场景使用证书模板颁发的证书 沿用预先配置的 X.509 扩展程序,例如密钥用途和路径长度 证书模板的限制。借助证书模板 定义证书中要保留和忽略的扩展 请求。您可以使用证书模板来定义身份限制条件, 限制证书身份。证书模板可以 更多 CA 池。
CA 签名密钥
CA Service 已自动配置为使用 Cloud Key Management Service 用于生成、存储和使用 CA 签名密钥。在 CA Service 中 Cloud KMS 密钥版本用于对证书和 CRL 进行签名。您可以创建 您自己的 Cloud KMS 密钥,然后创建使用此密钥的 CA。或者您 可以指定要用于 CA 的 Cloud KMS 密钥的算法, CA Service 将代表您创建和配置此密钥。 Cloud KMS 密钥可以由软件支持,也可以由硬件支持。CA 服务代表您创建密钥时,始终会创建有硬件支持的密钥。
Cloud Storage 存储桶
在 CA 服务中创建的 CA 会发布其制品,如 CA 证书 和 CRL 存储在与已部署的 CA 位于同一位置的 Cloud Storage 存储桶中。 与 Cloud KMS 密钥类似,Cloud Storage 存储桶可以是 Google 管理的资源,也可以是客户管理的资源。
CA 层级
证书授权机构的层级指明了其支持的功能 结算 SKU。CA Service 为创建的每个 CA 池提供以下两种运营服务层级:
- DevOps:以更高证书颁发证书 发布速率或吞吐量,这在数据量大的场景中非常有用。 DevOps CA 颁发的证书不会在 CA 数据库中跟踪,因此无法撤消。DevOps CA 仅支持 Google 拥有的密钥和 Google 管理的密钥。 它们不支持客户管理的 Cloud KMS 密钥。
- 企业:证书颁发吞吐量较低,但支持 CA 操作,例如跟踪证书和撤消证书。这使得 更适合长期证书颁发企业 CA 既支持客户管理的 Cloud KMS 签名密钥,又支持 Google 拥有的密钥和 Google 管理的密钥。
政策控制措施
通过政策控件,您可以控制 CA 池可以接受的证书类型 问题。政策控制项分为以下两种类型:
- 粗略的政策控制,例如发布政策。证书颁发 政策定义了该 CA 池中的 CA 可以颁发的证书类型。 例如,用户可以限制其 CA 池只能颁发为客户端 TLS 设置了正确的扩展密钥用途字段的证书,并且不能颁发 CA 证书。
- 使用模板表示精细的政策控制,这些模板决定 以及特定用户可在 CA 池上执行的操作。证书模板可与 IAM 条件结合使用,以便为同一 CA 池中的不同用户有效创建不同的政策控制。
您可以通过以下方式在 CA Service 中强制执行政策控制措施:
- 为整个 CA 池颁发证书添加基准。
- 针对常见颁发场景使用可重复使用且参数化的模板。
- 使用条件对 IAM 绑定实施精细控制。
- 使用 Cloud Functions (GKE) 身份反射。