常见问题解答
什么是 Certificate Authority Service?
Certificate Authority Service 是一项高可用性、可伸缩的 Google Cloud 服务,可让客户简化、自动执行和自定义私有证书授权机构 (CA) 的部署、管理和安全维护,同时控制其私钥。
Certificate Authority Service 有哪些常见用例?
以下是 CA Service 的一些常见使用场景。
- 工作负载身份:利用 API 为应用获取证书,或者在应用、容器、系统和其他资源中使用证书。
- 企业场景:将证书用于 VPN、BeyondCorp Enterprise、签名文档、Wi-Fi 访问权限、电子邮件、智能卡等。
- 集中式证书颁发和管理:将 GKE Enterprise 服务网格配置为使用 CA Service。
- IoT 和移动设备身份:颁发 TLS 证书作为端点的身份。
- CI/CD 渠道、Binary Authorization、Istio 和 Kubernetes。
CA Service 支持哪些合规性标准?
如需了解详情,请参阅安全与合规性。
可以在哪些位置创建 CA Service 资源?
您可以在多个位置中的某个位置创建 CA Service 资源。如需查看完整的位置列表,请参阅位置。
CA Service 是否支持单个根下的全局 PKI?
是的,前提是根 CA 位于单个区域中。不过,您可以在不同区域中创建多个连接到同一根的 CA。
CA 是否支持标签?
可以,您可以在创建和更新操作期间将标签与 CA 池和 CA 相关联。
如需了解如何更新 CA 池上的标签,请参阅更新 CA 池上的标签。
如需了解如何更新 CA 上的标签,请参阅更新 CA 上的标签。
可以使用 Cloud Monitoring 跟踪证书创建和 CA 有效期吗?可以为其生成 Pub/Sub 事件吗?
是的,您可以监控所有这些事件。CA Service 本身不支持 Pub/Sub,但您可以使用 Cloud Monitoring 对其进行配置。如需了解详情,请参阅将 Cloud Monitoring 与 CA Service 搭配使用。
未激活的 CA 会保留多长时间?
从属 CA 在创建时处于 AWAITING_USER_ACTIVATION 状态,并在激活后设置为 STAGED 状态。如果从属 CA 在创建 30 天后仍处于 AWAITING_USER_ACTIVATION 状态,则系统会将其删除。
如需了解 CA 在其生命周期中所处的各种状态,请参阅证书授权机构状态。
对于证书颁发,CA Service 支持哪些访问权限控制?
CA Service 支持在 CA 池上设置 IAM 政策,以控制谁可以颁发证书。CA 管理员可以将颁发政策附加到 CA 池。此颁发政策定义了 CA 池中的 CA 可以颁发的证书类型的限制。这些限制包括对域名、扩展名和证书有效期等施加限制。
如需详细了解如何在 CA 池上配置颁发政策,请参阅使用颁发政策。
如需了解如何配置必要的 IAM 政策以创建和管理 CA 服务资源,请参阅配置 IAM 政策。
CA Service 是否支持多区域 Cloud KMS 密钥?
不可以,CA 服务不支持多区域 Cloud KMS 密钥。
CA Service 是否会限制我的请求?CA 服务的目标 QPS 是什么?
是的,CA 服务具有节流机制。如需了解详情,请参阅配额和限制。
CA Service 是否支持 VPC Service Controls?
是的,CA Service 支持 VPC Service Controls。如需了解详情,请参阅支持的产品和限制 > Certificate Authority Service(证书授权服务)和安全与合规性。
PEM 编码的公钥应如何与 REST API 一起使用?
PEM 编码的公钥只有在采用 Base64 编码后,才能与 REST API 一起使用。
在 CA Service 宣布正式版 (GA) 后,预览版阶段的 API 是否仍可使用?
可以。在 CA Service 宣布正式发布后,预览版 API 仍然可以在短期内使用。此期限仅适用于客户顺利过渡到使用最新 API 的阶段,短期内仅可获得有限的支持。我们建议客户在 GA API 推出后立即进行迁移,以便使用它们。
在 CA Service 宣布正式发布 (GA) 后,如何访问在预览版期间创建的资源?
您无法使用 Google Cloud 控制台查看或管理在预览期间创建的资源。如需管理在预览版期间创建的资源,请使用预览版 API 或预览 gcloud 命令。可通过 https://privateca.googleapis.com/v1beta1/ 端点访问预览版 API。可通过 gcloud privateca beta 访问预览 gcloud 命令。如需详细了解 gcloud privateca beta 命令,请参阅 gcloud privateca beta。
可以创建一个与其链中的另一个 CA 具有相同主题和键的从属 CA 吗?
不可以,从属 CA 不能与根 CA 或其链中的任何其他 CA 具有相同的主题和键。RFC 4158 建议路径中不要重复使用主题名称和公钥对。
客户管理的 Cloud KMS 密钥是否与 CMEK 相同?
不会,CA Service 中支持的客户管理的 Cloud KMS 密钥与使用 Cloud KMS 管理的客户管理的加密密钥 (CMEK) 不同。在 CA Service 中,您可以为企业层级中的 CA 创建自己的客户管理的 Cloud KMS 密钥(也称为 BYO 密钥)。与 CMEK 等用于对受支持的 Google Cloud 服务中静态数据进行加密的加密密钥不同,这些密钥会用作 CA 的签名密钥。CA 服务不支持 CMEK。
删除资源后,是否可以重复使用资源名称?
不可以,在删除原始资源后,不能在新资源中重复使用 CA 池的名称、CA 和证书模板的名称等资源名称。例如,如果您创建一个名为 projects/Charlie/locations/Location-1/caPools/my-pool 的 CA 池,然后删除 CA 池,则您无法在项目 Charlie 和位置 Location-1 中再创建一个名为 my-pool 的 CA 池。