此页面由 Cloud Translation API 翻译。

确定证书授权机构设置

本页介绍了证书授权机构 (CA) 的各种设置。

永久性设置

创建 CA 后，您将无法更改本部分中提及的设置。

具体服务设置

CA 类型

借助 CA Service，您可以创建根 CA 和从属 CA。

根 CA	从属 CA
根 CA 是自签名 CA。需要对通过根 CA 创建的证书进行身份验证的各方（依赖方）必须事先知道其 CA 证书。根 CA 证书通常称为信任锚。很难经常更改根 CA。如需更改根 CA，您必须先告知所有依赖方新的信任锚点。否则，它们将无法对来自新根 CA 的证书进行身份验证。由于根 CA 是自签名的，因此无法使用签发 CA 的 CRL 撤消根 CA。如需撤消根 CA，您必须将其从信任该 CA 的每个客户端的信任存储区中移除。此过程可能很长且很繁琐。因此，我们建议保护根 CA。	从属 CA 是指由根 CA 或其他从属 CA 签名的 CA。在一系列子级 CA 之后，链始终以根 CA 结尾。仅知道根 CA 的依赖方还可以隐式信任与明确受信任的根 CA 证书链接的子级 CA。只有当依赖方能够对构成根 CA 证书路径的证书链进行加密验证时，才能信任从属 CA。包含根 CA 和一个或多个从属 CA 的链可以包含在 CA Service 中管理的 CA 和不受管理的 CA。

根 CA

从属 CA

根 CA 是自签名 CA。需要对通过根 CA 创建的证书进行身份验证的各方（依赖方）必须事先知道其 CA 证书。根 CA 证书通常称为信任锚。

很难经常更改根 CA。如需更改根 CA，您必须先告知所有依赖方新的信任锚点。否则，它们将无法对来自新根 CA 的证书进行身份验证。

由于根 CA 是自签名的，因此无法使用签发 CA 的 CRL 撤消根 CA。如需撤消根 CA，您必须将其从信任该 CA 的每个客户端的信任存储区中移除。此过程可能很长且很繁琐。因此，我们建议保护根 CA。

从属 CA 是指由根 CA 或其他从属 CA 签名的 CA。在一系列子级 CA 之后，链始终以根 CA 结尾。

仅知道根 CA 的依赖方还可以隐式信任与明确受信任的根 CA 证书链接的子级 CA。只有当依赖方能够对构成根 CA 证书路径的证书链进行加密验证时，才能信任从属 CA。

包含根 CA 和一个或多个从属 CA 的链可以包含在 CA Service 中管理的 CA 和不受管理的 CA。

Cloud KMS 密钥

默认情况下，新的 CA 使用 Google 管理的 Cloud Key Management Service (Cloud KMS) 密钥。您可以为 Google 管理的 Cloud KMS 密钥选择特定的密钥算法。或者，您也可以向 CA 服务授予对现有密钥的访问权限。如需了解详情，请参阅选择密钥算法。

如需详细了解 Cloud KMS 密钥和 Cloud Storage 存储分区的管理模式，请参阅管理资源。

Cloud Storage 存储分区

默认情况下，CA Service 会在 CA 所在的位置创建一个新的 Google 管理的 Cloud Storage 存储分区。您还可以选择使用现有的自行管理的存储分区，也可以创建新存储分区。为尽可能缩短发布 CRL 时的延迟时间，我们建议您在与 CA 相同的位置创建 Cloud Storage 存储分区。如需了解详情，请参阅管理资源。

CA 证书设置

以下设置会直接反映在 CA 自己的证书中：

设置	说明
终身	指定 CA 的有效期。生命周期是指从 CA 创建之日起 CA 的有效时长。
主题	CA 可以指定唯一名称和正文备用名称。在许多情况下，这些字段仅供参考。不过，依赖方可以选择以不同的方式对待具有特定正文属性的 CA 颁发的证书。如果您想为 CA 的证书指定主题备用名称，则必须使用 Google Cloud CLI。

可选的 CA 设置

以下 CA 设置为可选设置。创建 CA 后，您可以更改以下设置。

设置	说明
标签	CA 可以附加一个或多个用户标签。标签对 CA Service 没有语义含义。

后续步骤

了解如何创建根 CA。
了解如何创建从属 CA。
了解如何从外部 CA 创建从属 CA。