Certificate Authority Service 是一项可伸缩的 Google Distributed Cloud (GDC) 气隙服务,可帮助您简化、自动执行和自定义私有证书授权机构 (CA) 的部署、管理和安全维护。私有证书授权机构是网络上验证用户、机器或服务身份的最常见方式之一。私有 CA 颁发的数字证书包含实体身份、颁发者身份和加密签名。
借助 CA Service,您可以创建根 CA 和子 CA:
- 根 CA:根 CA 具有自签名证书。此类证书位于证书链的顶部。
- 子 CA:CA 证书的签名者是在 CA Service 中创建的另一个 CA 或外部 CA。
CA Service 提供以下功能:
管理证书授权机构:创建和管理您自己的根 CA 和下级 CA。从属 CA 可以链接到服务内管理的根 CA,也可以链接到外部根 CA。
颁发证书:为您的应用和服务请求证书。CA Service 支持通过
CertificateRequest自定义资源使用已启用 ACME 的 CA 或已停用 ACME 的 CA 颁发证书。使用预定义的证书模板:使用预定义的证书模板简化和标准化证书创建流程。这些模板提供针对常见用例量身定制的预配置 X.509 参数,并强制执行与签发 CA 的允许配置文件的兼容性。
撤消证书:如果证书不再可信(例如由于密钥泄露),则在证书的预定过期日期之前使其失效。CA Service 通过发布证书吊销列表 (CRL) 来实现此目的,客户端可以检查这些列表来验证证书的状态。