憑證授權單位服務總覽

憑證授權單位服務 (CA 服務) 是一項高度可擴充的服務,可簡化及自動化私人憑證授權單位 (CA) 的部署、管理和安全防護作業。Google Cloud 私人 CA 會核發數位憑證,當中包含實體身分、核發者身分和加密編譯簽章。私密憑證是透過網路驗證使用者、機器或服務最常見的方式之一。私有憑證通常用於 DevOps 環境,保護容器、微服務、虛擬機器和服務帳戶。

您可以使用 CA 服務執行下列操作:

  • 建立自訂根層級和下層 CA。
  • 定義 CA 的主體、金鑰演算法和位置。
  • 選取從屬 CA 的區域,與根 CA 的區域無關。
  • 針對常見的憑證核發情境,建立可重複使用且參數化的範本。
  • 自備根 CA,並設定其他 CA,以鏈結至地端或其他位置執行的現有根 CA Google Cloud。
  • 使用 Cloud HSM 儲存私有 CA 金鑰。Cloud HSM 通過 FIPS 140-2 第 3 級驗證,且可在美洲、歐洲和亞太等眾多區域使用。
  • 透過 Cloud 稽核記錄取得記錄,並掌握使用者活動的相關人事時地物資訊。
  • 透過 Identity and Access Management (IAM) 定義精細的存取權控管機制,並透過 VPC Service Controls 定義虛擬安全範圍。
  • CA 服務支援每個 CA 每秒核發最多 25 個憑證 (開發運作層級),因此每個 CA 可核發數百萬個憑證,您可放心管理大量憑證。您可以在一個核發端點 (稱為 CA 集區) 後方建立多個 CA,並將傳入的憑證要求分配給所有 CA。使用這項功能,您每秒最多可有效核發 100 張憑證。
  • 透過 API、Google Cloud CLI、 Google Cloud 控制台或 Terraform,以自己最方便的方式管理、自動化及整合私人 CA。

憑證用途

您可以使用私人 CA,為下列用途核發憑證:

  • 軟體供應鏈完整性和程式碼身分:程式碼簽署、構件驗證和應用程式身分憑證。
  • 使用者身分:用戶端驗證憑證,用做零信任網路、VPN、文件簽署、電子郵件、智慧卡等服務的使用者身分。
  • 物聯網和行動裝置身分:用來做為裝置身分和驗證的用戶端驗證憑證,例如無線存取。
  • 服務內身分:微服務使用的 mTLS 憑證。
  • 持續整合與持續推送軟體更新 (CI/CD) 管道:在整個 CI/CD 建構過程中使用的程式碼簽署憑證,可提升程式碼完整性和安全性。
  • Kubernetes 和 Istio:用於保護 Kubernetes 和 Istio 元件之間連線的憑證。

選擇私有 PKI 的理由

在典型的網路公開金鑰基礎架構 (PKI) 中,全球數百萬個用戶端信任一組獨立的憑證授權單位 (CA),以在憑證中聲明身分 (例如網域名稱)。CA 的職責包括承諾只在獨立驗證憑證中的身分後,才核發憑證。舉例來說,CA 通常需要先驗證要求網域名稱 example.com 憑證的人員是否實際控管該網域,才會核發憑證。由於這些 CA 可為數百萬名客戶核發憑證,但他們可能與這些客戶沒有直接關係,因此只能聲明可公開驗證的身分。這些 CA 僅限於某些定義明確的驗證程序,且這些程序在 Web PKI 中會持續套用。

與 Web PKI 不同,私有 PKI 通常涉及較小的 CA 層級,由機構直接管理。私有 PKI 只會將憑證傳送給本質上信任該機構具有適當控管機制的用戶端 (例如該機構擁有的機器)。由於 CA 管理員通常有自己的身分驗證方式,可為核發憑證的身分驗證 (例如為自家員工核發憑證),因此不受與 Web PKI 相同的規定限制。相較於 Web PKI,私人 PKI 的主要優勢之一就是彈性。私有 PKI 可啟用新的用途,例如使用簡短網域名稱保護內部網站,而不必擁有這些名稱的專屬權,或將替代身分識別格式 (例如 SPIFFE ID) 編碼至憑證中。

此外,Web PKI 要求所有 CA 將核發的每張憑證記錄到公開的憑證透明化記錄中,但如果機構是為內部服務核發憑證,可能就不需要這麼做。透過私有 PKI,機構可以對全球其他地區隱藏內部基礎架構拓撲,例如網路服務或應用程式的名稱。

後續步驟