憑證授權單位服務概念

本頁說明憑證授權單位服務 (CA 服務) 的一些重要概念。

資源

CA 服務包含下列資源:

憑證授權單位集區

憑證授權單位集區 (CA 集區) 是 CA 服務中的主要資源。CA 集區是憑證授權單位和憑證的容器。您可以在 CA 集區中設定 Identity and Access Management 條件、核發政策和其他設定。憑證核發作業也是透過 CA 集區進行,該集區會將憑證要求負載分配給 CA 集區中的 CA。

憑證授權單位

憑證授權單位 (CA) 資源代表用於簽署憑證的個別憑證授權單位。在 CA 服務中,您可以建立根 CA 和從屬 CA。根 CA 具有自行簽署的憑證,且位於憑證鏈的頂端。如果是從屬 CA,CA 憑證的簽署者可以是 CA 服務中建立的其他 CA,也可以是外部 CA。在後者情況下,CA 服務會產生憑證簽署要求 (CSR),必須由外部 CA 簽署。您可以透過 Google Cloud CLI 或 Google Cloud 控制台,上傳已簽署的 PEM 編碼憑證鏈,啟用新的 CA。

憑證

憑證是由憑證授權單位核發的已簽署 X.509 憑證。

憑證撤銷清單

憑證撤銷清單 (CRL) 包含已撤銷且不應再信任的憑證序號。CRL 會以雲端資源的形式,巢狀內嵌於 CA 下方,但也可以 PEM 或 DER 編碼發布至 Cloud Storage 值區,並提供可公開存取的 HTTP 型網址。

憑證範本

憑證範本是頂層資源,可定義不同的憑證核發情境。使用憑證範本核發的憑證會從憑證範本繼承預先設定的 X.509 擴充功能,例如金鑰用途和路徑長度限制。憑證範本可讓您定義要保留哪些擴充欄位,以及要忽略憑證要求中的哪些擴充欄位。您可以使用憑證範本定義身分限制,以限制憑證身分。憑證範本可搭配一或多個 CA 集區使用。

CA 簽署金鑰

系統會自動設定 CA Service,使用 Cloud Key Management Service 產生、儲存及運用 CA 簽署金鑰。在 CA 服務中,Cloud KMS 金鑰版本用於簽署憑證和 CRL。您可以建立自己的 Cloud KMS 金鑰,然後建立使用此金鑰的 CA。或者,您可以指定要用於 CA 的 Cloud KMS 金鑰演算法,CA Service 會代表您建立及設定這項金鑰。Cloud KMS 金鑰可由軟體或硬體支援。當 CA 服務代表您建立金鑰時,一律會建立硬體支援的金鑰。

Cloud Storage 值區

在 CA 服務中建立的 CA 會將 CA 憑證和 CRL 等構件發布至與部署的 CA 位於相同位置的 Cloud Storage 值區。與 Cloud KMS 金鑰類似,Cloud Storage bucket 可以是 Google 代管資源,也可以是客戶代管資源。

CA 層級

憑證授權單位的層級會指出其支援的功能和帳單 SKU。CA 服務為每個建立的 CA 集區提供下列兩種作業服務層級:

  • DevOps:以較高的憑證核發率或總處理量核發憑證,有助於處理大量憑證。開發運作 CA 核發的憑證不會在 CA 資料庫中追蹤,因此無法撤銷。開發運作 CA 僅支援 Google 擁有及代管 加密金鑰。 不支援客戶管理的 Cloud KMS 金鑰。
  • 企業:憑證核發輸送量較低,但支援 CA 作業,例如追蹤及撤銷憑證。因此這個層級的 CA 更適合核發長期有效的憑證。企業 CA 支援客戶管理的 Cloud KMS 簽署金鑰,以及 的 Google 所有和管理的 加密金鑰。

政策控制項

您可以透過政策控管機制,控管 CA 集區可核發的憑證類型。政策控制項分為兩種類型:

  • 粗略的政策控制項,例如核發政策。憑證核發政策會定義 CA 集區中的 CA 可核發的憑證類型。舉例來說,使用者可以限制 CA 集區只能核發已為用戶端 TLS 設定正確擴充金鑰使用欄位的憑證,且不得核發 CA 憑證。
  • 以範本表示的精細政策控制項,可決定特定使用者可在 CA 集區執行的作業。憑證範本可搭配 IAM 條件使用,為同一 CA 集區的不同使用者有效建立不同的政策控管機制。

您可以在 CA 服務中透過下列方式強制執行政策控管:

  • 為整個 CA 集區核發的憑證新增基準。
  • 針對常見核發情境使用可重複使用的參數化範本。
  • 使用條件強制執行對 IAM 繫結的精細控制。
  • 使用身分識別反映功能簡化工作負載憑證佈建程序。

後續步驟