透過集合功能整理內容
你可以依據偏好儲存及分類內容。
判斷憑證授權單位設定
本頁提供憑證授權單位 (CA) 各項設定的相關資訊。
永久設定
建立 CA 後,您就無法變更本節提及的設定。
服務專屬設定
CA 類型
CA 服務可讓您建立根 CA 和從屬 CA。
| 根 CA |
從屬 CA |
根 CA 是自行簽署的 CA。需要驗證根 CA 所建立憑證的各方 (即信賴憑證者) 必須事先知道 CA 憑證。根 CA 憑證通常稱為「信任錨點」。
頻繁變更根 CA 相當困難。如要變更根 CA,您必須先向所有信賴方更新新的信任錨點。否則,他們將無法驗證新根 CA 的憑證。
根 CA 無法使用核發 CA 的 CRL 撤銷,因為根 CA 是自行簽署。如要撤銷根 CA,您必須從信任該 CA 的每個用戶端信任儲存區中移除該 CA。這個程序可能很漫長且繁瑣。因此,我們建議保護根 CA。 |
從屬 CA 是由根 CA 或另一個從屬 CA 簽署的 CA。憑證鏈會依序經過從屬 CA,最後一定會連到根 CA。
如果信賴方只知道根 CA,也可以隱含信任鏈結到明確信任的根 CA 憑證的從屬 CA。只有當信賴方能夠以加密方式驗證憑證鏈結時,從屬 CA 才能獲得信任,該鏈結會形成通往根 CA 憑證的路徑。
包含根 CA 和一或多個從屬 CA 的鏈結,可以包含在 CA 服務中管理的 CA,以及不在其中的 CA。 |
Cloud KMS 金鑰
根據預設,新的 CA 會使用 Google 管理的 Cloud Key Management Service (Cloud KMS) 金鑰。您可以為 Google 代管的 Cloud KMS 金鑰選擇特定金鑰演算法。或者,您也可以授予 CA 服務現有金鑰的存取權。詳情請參閱「選擇金鑰演算法」。
如要進一步瞭解 Cloud KMS 金鑰和 Cloud Storage 值區的管理模型,請參閱「管理資源」。
Cloud Storage bucket
根據預設,CA Service 會在與 CA 相同的位置建立新的 Google 管理 Cloud Storage bucket。您也可以選擇使用現有的自行管理值區,或建立新值區。為盡量縮短發布 CRL 時的延遲時間,建議您在與 CA 相同的位置建立 Cloud Storage bucket。詳情請參閱「管理資源」。
CA 憑證設定
下列設定會直接反映在 CA 自己的憑證中:
| 設定 |
說明 |
| 生命週期 |
指定 CA 的生命週期。生命週期是指 CA 從建立開始的有效時間長度。 |
| 主旨
<0x |
CA 可以指定識別名稱和主體別名。在許多情況下,這些欄位僅供參考。
不過,信賴方可以選擇以不同方式處理來自具有特定主體屬性的 CA 的憑證。
如要為 CA 的憑證指定主體替代名稱,請使用 Google Cloud CLI。 |
選用 CA 設定
下列 CA 設定為選用設定。建立 CA 後,您可以變更下列設定。
| 設定 |
說明 |
| 標籤
|
CA 可以附加一或多個使用者標籤。標籤對 CA 服務沒有語意含義。 |
後續步驟
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-07-14 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-07-14 (世界標準時間)。"],[[["CA Service allows the creation of both root CAs, which are self-signed and require prior knowledge by relying parties, and subordinate CAs, which are signed by a root or another subordinate CA and form a chain back to a trusted root."],["New CAs use a Google-managed Cloud KMS key by default, but you can also select a specific key algorithm or utilize an existing key, providing flexibility in key management."],["While CA Service automatically creates a new Google-managed Cloud Storage bucket, users have the option to utilize a pre-existing or create a new, self-managed bucket, allowing for customized storage management."],["CA certificate settings such as lifetime and subject are reflected in the CA's own certificate, impacting its validity period and how it's identified."],["Optional CA settings, including user labels, can be modified post-creation, providing flexibility for organization and management without impacting core functionality."]]],[]]
