Certificate Authority Service は、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできるようにするスケーラブルな Google Distributed Cloud(GDC)エアギャップ サービスです。プライベート認証局は、ネットワークを介してユーザー、マシン、サービスを認証する最も一般的な方法の 1 つです。プライベート CA は、エンティティ ID、発行元 ID、暗号署名のデジタル証明書を発行します。
CA Service では、ルート CA とサブ CA の両方を作成できます。
- ルート CA: ルート CA には自己署名証明書があります。この証明書タイプは、証明書チェーンの最上位にあります。
- 下位 CA: CA 証明書の署名者は、CA Service で作成された別の CA または外部 CA のいずれかです。
CA Service には次の機能があります。
認証局を管理する: 独自のルート CA と下位 CA を作成して管理します。下位 CA は、サービス内で管理されるルート CA または外部ルート CA にチェーン化できます。
証明書を発行する: アプリケーションとサービスの証明書をリクエストします。CA Service は、
CertificateRequestカスタム リソースを介して、ACME 対応 CA または ACME 無効 CA を使用した証明書の発行をサポートしています。定義済みの証明書テンプレートを使用する: 定義済みの証明書テンプレートを使用して、証明書の作成を簡素化し、標準化します。これらのテンプレートは、一般的なユースケースに合わせて事前構成された X.509 パラメータを提供し、発行元 CA の許可されたプロファイルとの互換性を適用します。
証明書を取り消す: 鍵の漏洩などにより信頼できなくなった証明書を、有効期限前に無効にします。CA Service は、証明書失効リスト(CRL)を公開することでこれを実現します。クライアントは、このリストをチェックして証明書のステータスを確認できます。