创建 CA 池

本页介绍了如何创建证书授权机构 (CA) 池。

CA 池是包含多个 CA 的集合,它具有通用证书颁发政策和 Identity and Access Management (IAM) 政策。CA 池可简化 CA 轮替管理,并让您能够实现更高的每秒有效查询次数 (QPS) 总和。

您必须先创建 CA 池,然后才能使用 Certificate Authority Service 创建 CA。如需了解详情,请参阅CA 池概览


确保您具有 CA Service Operation Manager (roles/privateca.caManager) IAM 角色。如需了解如何向主账号授予 IAM 角色,请参阅授予单个角色

确定 CA 池的设置

本部分介绍了 CA 池的设置,并提供了有关确定设置的建议。

永久性 CA 池设置

CA 池创建后,以下 CA 池设置将无法更改。

指定 CA 池的位置。CA 池存储在单个 Google Cloud 位置中。我们建议您在打算使用 CA 池的位置或附近创建 CA 池。
选择是使用 DevOps 层级还是企业层级创建 CA 池。此选项会影响 CA 服务是否保留已创建的证书、是否可以在日后撤消已创建的证书,以及您可以从 CA 池中的 CA 创建证书的最大速率。如需了解详情,请参阅选择操作层级

可选的 CA 池设置


CA 池可以具有证书颁发政策。此颁发政策会限制 CA 池中的 CA 可以颁发的证书。创建 CA 池后,您可以更新 CA 池的颁发政策。如需了解详情,请参阅模板和发卡政策概览

如需详细了解如何配置证书颁发政策,请参阅向 CA 池添加证书颁发政策


您可以配置 CA 池,以发布其每个 CA 的 CA 证书。颁发证书时,此 CA 证书的网址会作为授权信息访问 (AIA) 扩展包含在证书中。

企业级 CA 池中的 CA 可以被允许将证书吊销列表 (CRL) 发布到关联的 Cloud Storage 存储分区。在颁发证书时,此 CRL 的网址会作为 CRL 分发点 (CDP) 扩展包含在证书中。如果证书中没有 CDP 扩展,您将找不到 CRL。如需了解详情,请参阅撤消证书

您还可以选择已发布 CA 证书和 CRL 的编码格式。支持的编码格式包括隐私增强邮件 (PEM) 和唯一编码规则 (DER)。如果未指定编码格式,则系统会使用 PEM。

如果您使用 Google Cloud CLI 或 Google Cloud 控制台创建 CA 池,CA Service 会默认启用这些发布选项。如需了解详情,请参阅为 CA 池中的 CA 停用 CA 证书和 CRL 发布

创建 CA 池

如需创建 CA 池,请按照以下说明操作:

为 CA 池选择名称

  1. 前往 Google Cloud 控制台中的 Certificate Authority Service 页面。

    前往 Certificate Authority Service

  2. 点击 CA 池管理器

  3. 点击 Create pool(创建池)。

  4. 为 CA 池添加一个在该区域内唯一的名称。

  5. 区域字段中的下拉菜单中选择一个区域。如需了解详情,请参阅选择最佳位置

  6. 选择 Enterprise 或 DevOps 层级。如需了解详情,请参阅选择操作层级

  7. 点击下一步


借助 CA Service,您可以为 CA 池中 CA 的后备 Cloud KMS 密钥选择签名算法。默认情况下,系统允许使用所有密钥算法。

如需限制 CA 池颁发的证书中允许使用的密钥,请执行以下操作。这是一个可选步骤。

  1. 点击该切换开关。
  2. 点击添加一项
  3. 类型列表中,选择密钥类型。

    如果您想使用 RSA 密钥,请执行以下操作:

    1. 可选:添加模数下限(以位为单位)。
    2. 可选:添加模数上限(以位为单位)。
    3. 点击完成


    1. 可选:在椭圆曲线类型列表中,选择椭圆曲线类型。
    2. 点击完成
  4. 如需添加其他允许的密钥,请点击添加一项,然后重复第 2 步。

  5. 点击下一步


如需限制证书请求者可以使用哪些方法从 CA 池请求证书,请执行以下操作:

  1. 可选:如需限制基于 CSR 的证书请求,请点击切换开关。
  2. 可选:如需限制基于配置的证书请求,请点击切换开关。



  1. 可选:如要禁止将 CA 池中 CA 的 CA 证书发布到 Cloud Storage 存储分区,请点击切换开关。
  2. 可选:如需禁止将 CA 池中 CA 的 CRL 发布到 Cloud Storage 存储分区,请点击切换开关。
  3. 点击菜单,选择已发布的 CA 证书和 CRL 的编码格式。

    为 CA 池中的 CA 配置 CA 证书和 CRL 的发布选项。

  4. 点击下一步


此设置是指数字证书中的 Key Usage 字段。它指定了证书的私钥的使用方式,例如用于密钥加密、数据加密、证书签名和 CRL 签名。如需了解详情,请参阅密钥使用情况

  1. 如需选择基本密钥用途,请点击指定由此 CA 池颁发的证书的基本密钥用途切换开关,然后从列出的选项中进行选择。
  2. 点击下一步

此设置是指数字证书中的 Extended Key Usage (EKU) 字段。它对密钥的使用方式提供了更具体的限制,例如服务器身份验证、客户端身份验证、代码签名和电子邮件保护。如需了解详情,请参阅扩展密钥用途

扩展密钥用法使用对象标识符 (OID) 进行定义。如果您未配置扩展密钥用途,则允许所有密钥用途场景。

  1. 如需选择扩展密钥用途,请点击为由此 CA 池颁发的证书写入扩展密钥用途切换开关,然后从列出的选项中进行选择。
  2. 点击下一步

证书中的证书政策扩展用于表示颁发 CA 池遵循的政策。此扩展程序可以包含有关在颁发证书之前如何验证身份、如何撤消证书以及如何确保 CA 池完整性的信息。此扩展程序可帮助您验证 CA 池颁发的证书,并查看证书的使用方式。



  1. 政策标识符字段中添加政策标识符。
  2. 点击下一步
添加授权信息访问 (AIA) OCSP 服务器

证书中的 AIA 扩展提供以下信息:

  • OCSP 服务器的地址,您可以通过该地址查看证书的撤消状态。
  • 证书颁发者的访问方法。


如需添加证书中 AIA 扩展字段中显示的 OCSP 服务器,请执行以下操作:

  1. 点击添加项
  2. Server 网址(服务器网址)字段中,添加 OCSP 服务器的网址。
  3. 点击完成
  4. 点击下一步
CA 选项

证书模板中的 CA 选项字段定义了生成的证书在证书授权机构 (CA) 层次结构中的使用方式。CA 选项用于确定证书是否可用于为其他证书签名,如果可以,则确定其颁发的证书的限制。


  1. 添加配置以描述 CA X.509 扩展:在证书模板中指定用于控制 X.509 扩展的设置。

  2. 将已颁发的证书限制为仅用于 CA:只有在您选中上一步中提到的复选框后,此选项才会显示。此布尔值指示证书是否为 CA 证书。如果设置为 true,则证书可用于为其他证书签名。如果为 false,则表示证书是最终实体证书,无法对其他证书进行签名。如果您点击此切换开关,系统会进一步提示您为 CA 证书中的扩展定义名称限制条件。

  3. 添加配置以描述路径长度限制 X.509 扩展:指定用于控制从特定证书派生的证书链的长度的设置。如果将颁发者路径长度上限设置为 0,则 CA 只能颁发最终实体证书。如果将其设为 1,则此 CA 证书下方的链只能包含一个从属 CA。如果未声明值,则此 CA 下链中的子 CA 数量不受限制。

  4. 点击下一步

如需配置要在 CA 池颁发的证书中添加的其他自定义扩展,请执行以下操作:

  1. 点击添加项
  2. 对象标识符字段中,添加格式为英文句点分隔的数字的有效对象标识符。
  3. 字段中,添加标识符的 base64 编码值。
  4. 如果该扩展程序至关重要,请选择扩展程序至关重要


如需创建 CA 池,请点击完成


gcloud privateca pools create POOL_NAME --location=LOCATION


  • POOL_NAME:CA 池的名称。
  • LOCATION:您要在其中创建 CA 池的位置。如需查看位置的完整列表,请参阅位置

如果您未指定 CA 池所需的层级,系统会默认选择 Enterprise 层级。如果您想为 CA 池指定层级,请运行以下 gcloud 命令:

gcloud privateca pools create POOL_NAME --location=LOCATION --tier=TIER_NAME


  • POOL_NAME:CA 池的名称。
  • LOCATION:您要在其中创建 CA 池的位置。如需查看位置的完整列表,请参阅位置
  • TIER_NAMEdevopsenterprise。如需了解详情,请参阅选择操作层级

如果您未为 CA 池指定发布编码格式,系统会默认选择 PEM 发布编码格式。如果您想为 CA 池指定发布编码格式,请运行以下 gcloud 命令:

gcloud privateca pools create POOL_NAME --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT


  • POOL_NAME:CA 池的名称。
  • LOCATION:您要在其中创建 CA 池的位置。如需查看位置的完整列表,请参阅位置

如需详细了解 gcloud privateca pools create 命令,请参阅 gcloud privateca pools create

如需了解如何对 CA 池可以颁发的证书类型施加限制,请参阅向 CA 池添加证书颁发政策

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  labels = {
    foo = "bar"

如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证

import (

	privateca "cloud.google.com/go/security/privateca/apiv1"

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)

	fmt.Fprintf(w, "CA Pool created")

	return nil

如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证

import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      CreateCaPoolRequest caPoolRequest =
              .setParent(LocationName.of(project, location).toString())

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());

      System.out.println("CA pool created successfully: " + poolId);

如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证

import google.cloud.security.privateca_v1 as privateca_v1

def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

  1. 创建 CA 池。

    HTTP 方法和网址:

    POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

    请求 JSON 正文:

      "tier": "ENTERPRISE"


    将请求正文保存在名为 request.json 的文件中,然后执行以下命令:

    curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \

    将请求正文保存在名为 request.json 的文件中,然后执行以下命令:

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID" | Select-Object -Expand Content

    您应该收到类似以下内容的 JSON 响应:

        "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
        "metadata": {...},
        "done": false

  2. 轮询该操作,直到它完成为止。

    当长时间运行的操作的 done 属性设为 true 时,表示操作已完成。

    HTTP 方法和网址:

    GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID



    curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \


    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID" | Select-Object -Expand Content

    您应该收到类似以下内容的 JSON 响应:

        "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
        "metadata": {...},
        "done": true,
        "response": {
          "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
          "name": "...",
          "tier": "ENTERPRISE"

为 CA 池添加或更新标签

标签是一种键值对,可帮助您整理 CA 服务资源。您可以根据资源的标签对资源进行过滤。

如需为 CA 池添加或更新标签,请执行以下操作:


  1. 前往 Certificate Authority Service 页面。

    前往 Certificate Authority Service

  2. CA 池管理器标签页中,选择 CA 池。

  3. 点击标签

  4. 点击 添加标签

  5. 添加键值对。

  6. 点击保存

    向现有 CA 池添加标签。


  1. 前往 Certificate Authority Service 页面。

    前往 Certificate Authority Service

  2. CA 池管理器标签页中,选择 CA 池。

  3. 点击标签

  4. 修改标签的值。

  5. 点击保存


gcloud privateca pools update POOL_ID --location=LOCATION --update-labels foo=bar


  • POOL_ID:CA 池的名称。
  • LOCATION:CA 池的位置。如需查看位置的完整列表,请参阅位置
