常见问题解答

什么是 Certificate Authority Service?

Certificate Authority Service 是一项高可用性、可伸缩的 Google Cloud 服务,可帮助客户简化、自动执行和自定义私有证书授权机构 (CA) 的部署、管理和安全维护,同时掌控自己的私钥。

Certificate Authority Service 的常见应用场景有哪些?

下面列出了一些 CA 服务的常见使用场景。

  • 工作负载身份:利用 API 获取应用证书,或在应用、容器、系统和其他资源中使用证书。
  • 企业场景:使用证书进行 VPN、Chrome 企业进阶版、签署文档、WiFi 访问、电子邮件、智能卡等操作。
  • 集中式证书颁发和管理:将 GKE Enterprise Service Mesh 配置为使用 CA Service。
  • 物联网和移动设备身份:颁发 TLS 证书作为端点的身份。
  • CI/CD 渠道、Binary Authorization、Istio 和 Kubernetes。

CA Service 支持哪些合规性标准?

如需了解相关信息,请参阅安全和合规性

我们可以在哪些位置创建 CA 服务资源?

您可以在多个位置之一创建 CA 服务资源。如需查看位置的完整列表,请参阅位置

CA Service 是否支持单个根下的全局 PKI?

可以,前提是根 CA 位于单个区域中。不过,您可以在不同区域中创建多个链接到同一根的颁发 CA。

CA 是否支持标签?

可以,您可以在创建和更新操作期间将标签与 CA 池和 CA 相关联。

如需了解如何更新 CA 池上的标签,请参阅更新 CA 池上的标签

如需了解如何更新 CA 上的标签,请参阅更新 CA 上的标签

是否可以使用 Cloud Monitoring 跟踪证书创建和 CA 过期情况?是否可以为这些事件生成 Pub/Sub 事件?

可以,您可以监控所有这些活动。CA Service 本身不支持 Pub/Sub,但您可以使用 Cloud Monitoring 进行配置。如需了解详情,请参阅将 Cloud Monitoring 与 CA Service 搭配使用

未激活的 CA 会保留多长时间?

从属 CA 在创建时处于 AWAITING_USER_ACTIVATION 状态,激活后会设置为 STAGED 状态。如果从属 CA 在创建 30 天后仍处于 AWAITING_USER_ACTIVATION 状态,则会被删除。

如需了解 CA 在整个生命周期中处于的各种状态,请参阅证书授权机构状态

CA Service 支持哪些证书颁发访问控制?

CA Service 支持在 CA 池上设置 IAM 政策,以控制谁可以颁发证书。CA 管理员可以将发布政策附加到 CA 池。此颁发政策定义了对 CA 池中的 CA 可以颁发的证书类型的限制。这些限制包括对域名、扩展程序和证书有效期施加限制,等等。

如需详细了解如何在 CA 池中配置颁发政策,请参阅使用颁发政策

如需了解如何配置必要的 IAM 政策以创建和管理 CA 服务资源,请参阅配置 IAM 政策

CA Service 是否支持多区域 Cloud KMS 密钥?

不支持。CA Service 不支持多区域 Cloud KMS 密钥。

CA Service 是否会限制我的请求?CA 服务的 QPS 目标值是多少?

有,CA 服务存在节流机制。如需了解详情,请参阅配额和限制

CA 服务是否支持 VPC Service Controls?

可以,CA Service 支持 VPC Service Controls。如需了解详情,请参阅支持的产品和限制 > Certificate Authority Service安全与合规性

PEM 编码的公钥应如何与 REST API 搭配使用?

PEM 编码的公钥只有在经过 Base64 编码后才能与 REST API 搭配使用。

CA Service 宣布正式发布 (GA) 后,是否仍可使用预览版阶段的 API?

可以。在 CA 服务宣布正式版 (GA) 后,预览版 API 仍可在短时间内使用。此时间段仅用于帮助客户顺利过渡到使用最新 API,并且时间较短,支持有限。我们建议客户尽快改用正式版 API。

CA Service 宣布正式发布 (GA) 后,如何访问在预览期间创建的资源?

您无法使用 Google Cloud 控制台查看或管理在预览期间创建的资源。如需管理在预览期间创建的资源,请使用预览版 API 或预览版 gcloud 命令。您可以通过 https://privateca.googleapis.com/v1beta1/ 端点访问预览版 API。预览版 gcloud 命令可通过 gcloud privateca beta 访问。如需详细了解 gcloud privateca beta 命令,请参阅 gcloud privateca beta

是否可以创建与链中另一个 CA 具有相同主题和密钥的从属 CA?

不能。从属 CA 的主题和密钥不能与根 CA 或其链中的任何其他 CA 相同。RFC 4158 建议不要在路径中重复使用正文名称和公钥对。

客户管理的 Cloud KMS 密钥与 CMEK 是否相同?

不是。CA 服务中支持的用于 CA 签名密钥的客户管理的 Cloud KMS 密钥与用于加密受支持的 Google Cloud 服务中的静态数据的客户管理的加密密钥 (CMEK) 不同。

CA Service 支持使用 CMEK 加密证书中的某些字段,例如证书主题和主题备用名称 (SAN)。如需了解详情,请参阅客户管理的加密密钥 (CMEK) 和 CA 服务

资源删除后,资源名称是否可以重复使用?

不可以。在删除原始资源后,您无法在新资源中重复使用 CA 池、CA 和证书模板等资源名称。例如,如果您创建了一个名为 projects/Charlie/locations/Location-1/caPools/my-pool 的 CA 池,然后删除了该 CA 池,则无法在项目 Charlie 和位置 Location-1 中创建另一个名为 my-pool 的 CA 池。

CA Service 是否会为证书生成密钥对?

不会,CA Service 不会为证书生成密钥对。CA Service 绝不会与您的私钥互动,有助于确保不可否认性。 只有生成证书请求的客户端才能访问证书的私钥。

如需请求证书,您必须在客户端计算机上执行以下步骤:

  1. 生成由公钥和私钥组成的新密钥对。
  2. 妥善存储私钥。
  3. 仅将公钥作为证书请求的一部分发送给 CA 服务。

某些客户端工具(例如 gcloud CLI)提供了一个 --generate-key 标志,用于在本地生成密钥对,并仅将公钥发送到 CA 服务。

后续步骤