Certificate Authority Service 概念
本页面介绍了 Certificate Authority Service (CA Service) 中的一些主要概念。
资源
CA Service 包含以下资源:
证书授权机构池
证书授权机构池(CA 池)是 CA 服务中的主要资源。CA 池是证书授权机构和证书的容器。Identity and Access Management 条件、颁发政策和其他配置是在 CA 池中设置的。证书也是通过 CA 池颁发的,这样可将证书请求负载分布到 CA 池中的多个 CA 之间。
证书授权机构
证书授权机构 (CA) 资源表示用于对证书进行签名的各个证书授权机构。在 CA Service 中,您可以创建根 CA 和从属 CA。根 CA 具有自签名证书,位于证书链的顶部。对于从属 CA,CA 证书的签名者可以是在 CA 服务中创建的其他 CA,也可以是外部 CA。在后一种情况下,CA 服务会生成必须由外部 CA 签名的证书签名请求 (CSR)。您可以使用 Google Cloud CLI 或 Google Cloud 控制台上传已签名的 PEM 编码证书链,以激活新 CA。
证书
证书是由证书授权机构颁发的已签名的 X.509 证书。
证书吊销列表
证书吊销列表 (CRL) 包含已被吊销且不应再信任的证书的序列号。CRL 作为嵌套在 CA 下的云资源,但也可以通过 PEM 或 DER 编码发布到 Cloud Storage 存储桶,该存储分区的网址具有可公开访问的基于 HTTP 的网址。
证书模板
证书模板是定义独特证书颁发场景的顶级资源。使用证书模板颁发的证书会继承证书模板中预先配置的 X.509 扩展,例如密钥用途和路径长度限制。借助证书模板,您可以定义要保留哪些扩展程序,以及要忽略证书请求中的哪些扩展程序。您可以使用证书模板定义身份限制条件,以限制证书身份。一个证书模板可用于一个或多个 CA 池。
CA 签名密钥
CA Service 会自动配置为使用 Cloud Key Management Service 生成、存储和使用 CA 签名密钥。在 CA Service 中,Cloud KMS 密钥版本用于对证书和 CRL 进行签名。您可以创建自己的 Cloud KMS 密钥,然后创建使用此密钥的 CA。或者,您也可以指定要用于 CA 的 Cloud KMS 密钥的算法,CA Service 将代表您创建并配置此密钥。Cloud KMS 密钥可以由软件或硬件提供支持。CA Service 代表您创建密钥时,始终会创建一个由硬件支持的密钥。
Cloud Storage 存储桶
在 CA Service 中创建的 CA 会在与部署的 CA 位于同一位置的 Cloud Storage 存储桶中发布其工件,例如 CA 证书和 CRL。与 Cloud KMS 密钥类似,Cloud Storage 存储分区可以是 Google 管理的资源,也可以是客户管理的资源。
CA 层级
证书授权机构的层级会指明其支持的功能和结算 SKU。CA Service 为创建的每个 CA 池提供以下两个操作服务层级:
- DevOps:以更高的证书颁发速率或吞吐量提供证书,这在大量场景下非常有用。DevOps CA 颁发的证书不会在 CA 数据库中进行跟踪,因此无法撤消。DevOps CA 仅支持 Google 管理的密钥。它们不支持客户管理的 Cloud KMS 密钥。
- 企业:提供较低的证书颁发吞吐量,但支持 CA 操作,例如跟踪证书和撤消证书。这使得此层级中的 CA 更适合长期证书颁发。企业 CA 同时支持客户管理的 Cloud KMS 签名密钥和 Google 管理的密钥。
政策控制措施
通过政策控制功能,您可以控制 CA 池可以颁发的证书类型。政策控制功能为以下两种类型之一:
- 粗略的政策控制措施,例如颁发政策。证书颁发政策定义了该 CA 池中的 CA 可以颁发的证书类型。例如,用户可以限制其 CA 池只能颁发符合以下条件的证书:为客户端 TLS 设置了正确的扩展密钥用法字段,并且无法颁发 CA 证书。
- 使用模板表示的精细政策控制措施,用于确定特定用户可在 CA 池上执行的操作。证书模板可以与 IAM 条件结合使用,从而为同一 CA 池上的不同用户有效地创建不同的政策控制措施。
您可以通过以下方式在 CA Service 中强制执行政策控制措施:
- 添加从整个 CA 池颁发证书的基准。
- 针对常见的发布场景使用可重复使用和参数化的模板。
- 使用条件对 IAM 绑定进行精细控制。
- 使用身份反射简化工作负载证书预配。