确定证书授权机构设置

本页面介绍了与证书授权机构 (CA) 的各项设置有关的信息。

永久设置

创建 CA 后，您将无法更改本部分中提到的设置。

具体服务设置

CA 类型

CA Service 可让您同时创建根 CA 和从属 CA。

根 CA	从属 CA
根 CA 是自签名 CA。需要对从根 CA 创建的证书进行身份验证的各方（依赖方）必须提前知道其 CA 证书。根 CA 证书通常称为“信任锚”。经常更改根 CA 很困难。如需更改根 CA，您必须先更新有关新信任锚的所有依赖方。否则，它们将无法对来自新的根 CA 的证书进行身份验证。根 CA 无法使用颁发者的 CRL 来撤消，因为根 CA 是自签名的。如需撤消根 CA，您必须将其从每个信任的客户端的信任库中移除。这个过程可能既长又繁琐因此，我们建议保护根 CA。	从属 CA 是由根 CA 或其他从属 CA 签名的 CA。在附属 CA 链之后，该链始终以根 CA 结尾。仅知道根 CA 的依赖方也可以隐式信任链接到明确可信的根 CA 证书的从属 CA。只有依赖方能够加密验证构成根 CA 证书路径的证书链时，从属 CA 才可信。包含一个根 CA 以及一个或多个从属 CA 的链可以包含在 CA Service 中管理的 CA 和在 CA Service 中管理的 CA，也可以包括在 CA Service 中管理的 CA。

根 CA

从属 CA

根 CA 是自签名 CA。需要对从根 CA 创建的证书进行身份验证的各方（依赖方）必须提前知道其 CA 证书。根 CA 证书通常称为“信任锚”。

经常更改根 CA 很困难。如需更改根 CA，您必须先更新有关新信任锚的所有依赖方。否则，它们将无法对来自新的根 CA 的证书进行身份验证。

根 CA 无法使用颁发者的 CRL 来撤消，因为根 CA 是自签名的。如需撤消根 CA，您必须将其从每个信任的客户端的信任库中移除。这个过程可能既长又繁琐因此，我们建议保护根 CA。

从属 CA 是由根 CA 或其他从属 CA 签名的 CA。在附属 CA 链之后，该链始终以根 CA 结尾。

仅知道根 CA 的依赖方也可以隐式信任链接到明确可信的根 CA 证书的从属 CA。只有依赖方能够加密验证构成根 CA 证书路径的证书链时，从属 CA 才可信。

包含一个根 CA 以及一个或多个从属 CA 的链可以包含在 CA Service 中管理的 CA 和在 CA Service 中管理的 CA，也可以包括在 CA Service 中管理的 CA。

Cloud KMS 密钥

默认情况下，新 CA 使用 Google 管理的 Cloud Key Management Service (Cloud KMS) 密钥。您可以为 Google 管理的 Cloud KMS 密钥选择特定的密钥算法。或者，您也可以授予 CA Service 对已存在密钥的访问权限。如需了解详情，请参阅选择密钥算法。

如需详细了解 Cloud KMS 密钥和 Cloud Storage 存储分区的管理模型，请参阅管理资源。

Cloud Storage 存储桶

默认情况下，CA Service 会在与 CA 相同的位置创建一个由 Google 管理的新 Cloud Storage 存储桶。您也可以选择使用现有的自行管理存储桶或创建新的存储桶。为了最大限度地缩短发布 CRL 时的延迟时间，我们建议您在 CA 所在的位置创建 Cloud Storage 存储桶。如需了解详情，请参阅管理资源。

CA 证书设置

以下设置直接反映在 CA 自己的证书中：

设置	说明
生命周期	指定 CA 的生命周期。生命周期是指从 CA 创建开始，该 CA 的有效期。
主题	CA 可以指定标识名和正文备用名称。在许多情况下，这些字段纯粹用于提供信息。但是，依赖方可以选择以不同方式处理由 CA 颁发且具有特定主题属性的证书。如果您要为 CA 的证书指定主题备用名称，则必须使用 Google Cloud CLI。

可选的 CA 设置

以下 CA 设置是可选的。创建 CA 后，您可以更改以下设置。

设置	说明
标签	一个 CA 可以附加一个或多个用户标签。标签对 CA Service 没有语义意义。

后续步骤

了解如何创建根 CA。
了解如何创建从属 CA。
了解如何从外部 CA 创建从属 CA。