Certificate Authority Service 概览

Certificate Authority Service (CA Service) 是一项可扩缩性极高的Google Cloud 服务,可帮助您简化和自动执行私有证书授权机构 (CA) 的部署、管理和安全维护。私有证书授权机构颁发数字证书,其中包括实体身份、颁发者身份和加密签名。私钥证书是通过网络对用户、计算机或服务进行身份验证的最常用方法之一。私钥证书通常用于 DevOps 环境,用于保护容器、微服务、虚拟机和服务账号。

使用 CA Service,您可以执行以下操作:

  • 创建自定义根 CA 和从属 CA。
  • 定义 CA 的主题、密钥算法和位置。
  • 选择从属 CA 的区域,该区域可以与其根 CA 的区域无关。
  • 针对常见的证书颁发场景创建可重复使用且可参数化的模板。
  • 您可以自行提供根 CA,并配置其他 CA 以链接到在本地或 Google Cloud之外的任何其他位置运行的现有根 CA。
  • 使用 Cloud HSM 存储您的私有 CA 密钥,Cloud HSM 已通过 FIPS 140-2 3 级认证,可在美洲、欧洲和亚太的多个区域使用。
  • 借助 Cloud Audit Logs,可获取日志,清楚地了解谁在何时、何地执行过哪些操作。
  • 使用 Identity and Access Management (IAM) 定义精细的访问权限控制机制,使用 VPC Service Controls 定义虚拟安全边界。
  • 管理大量证书。CA 服务支持每个 CA 每秒最多颁发 25 个证书(DevOps 层级),这意味着每个 CA 可以颁发数百万个证书。您可以在一个颁发端点(称为 CA 池)后面创建多个 CA,并将传入的证书请求分配给所有 CA。借助此功能,您最多每秒可有效颁发 100 个证书。
  • 您可以使用 API、Google Cloud CLI、 Google Cloud 控制台或 Terraform 等对您而言最方便的方式管理和集成私有 CA,并自动进行部署。

证书用例

您可以使用私有 CA 为以下用例颁发证书:

  • 软件供应链完整性和代码身份:代码签名、工件身份验证和应用身份证书。
  • 用户身份:客户端身份验证证书,用于作为零信任网络、VPN、文档签名、电子邮件、智能卡等的用户身份。
  • IoT 和移动设备身份:用作设备身份和身份验证的客户端身份验证证书,例如无线访问。
  • 服务内身份:微服务使用的 mTLS 证书。
  • 持续集成和持续交付 (CI/CD) 渠道:在整个 CI/CD 构建过程中使用的代码签名证书,用于提高代码完整性和安全性。
  • Kubernetes 和 Istio:用于保护 Kubernetes 和 Istio 组件之间连接的证书。

为何选择私有 PKI

在典型的 Web 公钥基础架构 (PKI) 中,全球数百万客户信任一组独立的证书授权机构 (CA),以便在证书中声明身份(例如域名)。作为其职责的一部分,CA 承诺仅在独立验证证书中的身份后才颁发证书。例如,CA 通常需要先验证请求为域名 example.com 颁发证书的用户是否实际控制该域名,然后才能向其颁发证书。由于这些 CA 可以为数百万客户颁发证书,而这些客户可能与其之间没有现有的直接关系,因此它们只能声明可公开验证的身份。这些 CA 仅限于在 Web PKI 中始终如一地应用的特定明确验证流程。

与 Web PKI 不同,私有 PKI 通常涉及更小的 CA 层次结构,该层次结构由组织直接管理。私有 PKI 仅向本质上信任组织具有适当控制措施的客户端(例如,归该组织所有的机器)发送证书。由于 CA 管理员通常有自己的方法来验证要为其颁发证书的身份(例如,向自己的员工颁发证书),因此他们不受与 Web PKI 相同的要求的限制。这种灵活性是私有 PKI 相较于 Web PKI 的主要优势之一。私有 PKI 支持新的用例,例如使用短域名保护内部网站(无需对这些名称拥有唯一所有权),或将备选身份格式(例如 SPIFFE ID)编码到证书中。

此外,Web PKI 要求所有 CA 将其签发的每张证书记录到公共证书透明度日志中,但对于向其内部服务签发证书的组织,可能不需要这样做。借助私有 PKI,组织可以将其内部基础架构拓扑(例如网络服务或应用的名称)对世界其他地方保持私密。

后续步骤