将证书颁发政策添加到 CA 池

本页介绍了如何向证书颁发机构 (CA) 池添加证书颁发政策。

借助证书颁发政策,您可以指定可在颁发的证书中包含的主体和主题备用名称 (SAN)。您可以 在创建 CA 池时指定证书颁发政策,也可以更新 现有 CA 池以添加颁发政策。

如需了解详情,请参阅模板和发布政策概览

准备工作

  • 确保您拥有 CA Service Operation Manager (roles/privateca.caManager) 或 CA Service Admin (roles/privateca.admin) IAM 角色。有关 向主账号授予 IAM,请参阅向单个主账号授予 角色

  • 创建 CA 池

添加证书颁发政策文件

如需将证书颁发政策添加到现有 CA 池,请执行以下操作:

控制台

  1. 前往 Google Cloud 控制台中的 Certificate Authority Service 页面。

    转到 Certificate Authority Service

  2. CA 池管理器页面上,点击要为其添加证书颁发政策的 CA 池的名称。

  3. CA 池页面上,点击 修改

配置基准值

如需在 CA 池颁发的证书中配置基准值,请执行以下操作: 以下:

  1. 点击切换开关。
  2. 点击配置基准值
定义基本密钥用途

您可以使用此设置来配置 可以使用该证书密钥用法选项包括密钥 加密、数据加密、证书签名、CRL 签名等。

如需了解详情,请参阅密钥用途

如需定义基本密钥用途,请执行以下操作:

  1. 可选:在随即显示的窗口中,点击切换开关 您想要指定证书的基本密钥用途。
  2. 选中密钥的使用方式所对应的复选框。
    3. 选择您希望使用密钥的概要方式。
  3. 点击下一步
定义扩展密钥用法

您可以使用此设置 哪些项目可以使用。选项包括服务器身份验证、客户端身份验证、代码签名、电子邮件保护等。

扩展的密钥用途使用对象标识符 (OID) 进行定义。如果您未配置扩展密钥用途,则允许所有密钥用途场景。

如需了解详情,请参阅扩展的密钥用途

如需定义扩展的密钥用途,请执行以下操作:

  1. 可选:要指定 CA 池问题,点击切换开关。
  2. 选中扩展密钥使用场景对应的复选框。
  3. 点击下一步
定义政策标识符

证书中的证书政策扩展表示政策 发出证书的 CA 池之后的任何配置。此扩展程序可以包含有关在颁发证书之前如何验证身份、如何撤消证书以及如何确保 CA 池完整性的信息。此扩展程序可帮助您验证 CA 池颁发的证书,并查看证书的使用方式。

如需了解详情,请参阅证书政策

如需指定用于定义证书使用情况的政策,请执行以下操作:

  1. 可选:在政策标识符字段中添加政策标识符。
  2. 点击下一步
添加授权机构信息访问 (AIA) OCSP 服务器

证书中的 AIA 扩展提供以下信息:

  • OCSP 服务器的地址,您可以在其中检查吊销状态 证书 ID。
  • 证书颁发者的访问方法。

如需了解详情,请参阅授权信息访问

若要添加显示在 请执行以下操作。以下过程是可选的。

  1. 可选:点击添加一项
  2. 服务器网址字段中,添加 OCSP 服务器的网址。
  3. 点击完成
  4. 点击下一步
配置其他扩展程序

要配置其他自定义附加信息以添加到 使用 CA 池颁发的证书,请执行以下操作。流程如下 是可选属性。

  1. 点击添加一项
  2. 对象标识符字段中,添加一个有效的对象标识符, 格式为以点分隔的数字。
  3. 字段中,为标识符添加 base64 编码的值。
  4. 如果扩展程序至关重要,请选择扩展程序至关重要

如需保存所有基准值配置,请点击完成

配置扩展程序限制条件

要禁止将来自证书请求的所有扩展包含在 中,请执行以下操作: 已颁发的证书,请点击切换开关。

点击切换开关后,您会看到已知证书 extensions 字段,可用来选择证书扩展。接收者 选择证书扩展,请执行以下操作:

  1. 可选:点击已知证书扩展字段,然后从菜单中清除不需要的扩展。
  2. 可选:在自定义附加信息字段中,添加对象标识符 您想要包含在 CA 池的证书中的扩展 问题。
配置身份限制条件

要在证书中配置对正文和 SAN 的限制条件, CA 池问题,请执行以下操作:

  1. 可选:禁止传递证书请求中的主题 点击该切换开关
  2. 可选:要禁止在证书请求中使用主题备用名称,请执行以下操作: 点击切换开关即可。
  3. 可选:添加要放置的通用表达式语言 (CEL) 表达式 证书主题限制。如需了解详情,请参阅 使用 CEL
  4. 点击下一步

如需了解如何在证书颁发政策中配置其他参数, 请参阅 IssuancePolicy

gcloud

如需使用 Google Cloud CLI 向 CA 池添加证书颁发政策,您必须创建一个 YAML 文件,其中描述了 CA 池可以颁发的证书的限制。此内容对应于 IssuancePolicy

  1. 使用 Cloud Shell Editor 创建一个文件 policy.yaml,该文件包含 以下内容:

    identityConstraints:
  allowSubjectPassthrough: true
  allowSubjectAltNamesPassthrough: true

    其中:

    • allowSubjectPassthrough 是必填字段。如果 allowSubjectPassthrough 字段设为 true,则主题字段会从证书请求复制到签名证书中。否则,请求的主题会被舍弃。
    • 如果 allowSubjectAltNamesPassthrough 字段设为 true,则 SubjectAltNames 扩展将从证书请求复制到签名证书中。否则,将舍弃请求的 SubjectAltName。

  2. 使用该文件更新 CA 池的证书颁发政策 请运行以下命令:

    gcloud privateca pools update POOL_NAME \
  --issuance-policy FILE_PATH

    替换以下内容:

    • POOL_NAME:CA 池的名称。
    • FILE_PATHpolicy.yaml 文件的路径。

    如需详细了解 gcloud privateca pools update 命令,请参阅 gcloud privateca pools update

受支持的限制

CA Service 支持以下发布政策限制。您 可以根据需要结合以下限制来构建自定义证书 发布政策

限制或强制允许的 X.509 值

CA 池可以通过配置 passthrough_extensions 字段来限制证书请求中允许的 X.509 值。

CA 池还可以使用 baseline_values 字段明确指定要添加到其所有已颁发证书中的 X.509 值,覆盖任何请求的值。

CA 池的 baseline_values 值允许指定以下属性:

您也可以同时使用这些选项。

如果您更新 baseline_values 字段的任何部分,相应更新会替换 baseline_values 字段中的所有值。

  • 示例:限制 CA 仅颁发双向 TLS (mTLS) 的 X.509 值的最终实体证书。

    policy.yaml

    baselineValues:
  caOptions:
    isCa: false
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
      keyEncipherment: true
    extendedKeyUsage:
       clientAuth: true
       serverAuth: true

  • 示例:限制 CA 仅颁发带有基准 AIA OCSP 网址的最终实体代码签名证书。

    policy.yaml

    baselineValues:
  caOptions:
    isCa: false
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
    extendedKeyUsage:
      codeSigning: true
  aiaOcspServers:
    - "http://foo.bar/revocation"
  additionalExtensions:
  - objectId:
      objectIdPath:
        - 1
        - 2
        - 3
    critical: false
    value: "base64 encoded extension value"

如需详细了解最终实体 mTLS 的证书配置文件,请参阅最终实体 mTLS

限制允许的身份字段

如需限制通过 CA 池颁发的证书的身份,您可以在颁发政策的 identity_constraints 字段中添加通用表达式语言 (CEL) 表达式。CEL 表达式允许对证书的正文域名(包括公用名)和 SAN 进行任意限制。

如需详细了解如何使用 CEL 表达式限制主题和 SAN,请参阅使用 CEL

  • 示例:允许 CA 仅颁发与指定主体匹配的证书。

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: true
  allowSubjectAltNamesPassthrough: false
  celExpression:
    expression: 'subject.organization == "Example LLC" && subject.country_code in ["US", "UK"]'

    celExpression 字段为可选字段。在签署证书之前,使用通用表达式语言 (CEL) 表达式验证解析的 X.509 主题和 SAN。如需详细了解如何使用 CEL 表达式,请参阅使用 CEL

  • 示例:仅允许 DNS 名称为 us.google.org 或以 .google.com 结尾的 SAN。

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == DNS && (san.value == "us.google.org" || san.value.endsWith(".google.com")) )'

  • 示例:仅允许 URI 为 https://google.com/webhp 或以 spiffe://example-trust-domain-1/ns/namespace1/sa/ 开头的 SAN。

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == URI && (san.value == "https://google.com/webhp" || san.value.startsWith("spiffe://example-trust-domain-1/ns/namespace1/sa/")) )'

  • 示例:仅允许电子邮件地址为 example@google.com 或以 @google.org 结尾的 SAN。

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == EMAIL && (san.value == "example@google.com" || san.value.endsWith("@google.org")) )'

  • 示例:仅允许具有特定 OID 和自定义值的自定义 SAN。

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == CUSTOM && san.oid == [1, 2, 3, 4] && san.value == "custom-data" )'

限制已颁发证书的最长有效期

要限制已颁发证书的生命周期,请使用 maximum_lifetime 字段。如果请求的有效期长于最长有效期,则系统会明确截断证书的有效期。

示例

若要将生命周期上限设为 30 天,请使用以下 policy.yaml 文件:

policy.yaml

maximumLifetime: 2592000s

限制允许的证书颁发模式

您可以通过证书签名请求 (CSR) 或所请求值的内嵌说明来请求证书。由于后一种方法不需要证明拥有关联的私钥,因此某些组织可能更倾向于对可使用的选项施加限制。您可以使用 allowedIssuanceModes 字段来设置这些限制。

如需详细了解如何指定从 CA 池请求证书的方式,请参阅 IssuanceModes

如需详细了解如何请求证书,请参阅 创建证书请求

  • 示例:仅允许 CSR 颁发。

policy.yaml

allowedIssuanceModes:
  allowCsrBasedIssuance: True
  allowConfigBasedIssuance: False

限制证书请求的公钥算法

限制最小密钥长度和 可以使用allowedKeyTypes字段 证书颁发政策 YAML 文件如果指定了此字段,则 证书请求的公钥必须与 YAML 文件如果未指定此字段,则可以使用任何键,其中 模数小于 2048 位的 RSA 密钥除外。如果您想要使用 RSA 密钥 模数小于 2048 位时,您必须使用 证书颁发政策。

示例:允许模数大小介于 3072 位到 4096 位之间的 RSA 密钥 位(含)或椭圆曲线数字签名算法 (ECDSA) 密钥 如 NIST P-256 曲线所示。

policy.yaml

allowedKeyTypes:
- rsa:
    minModulusSize: 3072
    maxModulusSize: 4096
- ellipticCurve:
    signatureAlgorithm: ECDSA_P256

您可以选择以下椭圆曲线签名算法之一:

  • EC_SIGNATURE_ALGORITHM_UNSPECIFIED - 可以使用任何签名算法。
  • ECDSA_P256 - 基于 NIST P-256 曲线的椭圆曲线数字签名。
  • ECDSA_P384 - NIST P-384 曲线上的椭圆曲线数字签名。
  • EDDSA_25519 - 基于曲线 25519 的爱德华曲线数字签名算法(如 RFC 8410 中所述)。

后续步骤