常見問題
什麼是憑證授權單位服務?
憑證授權單位服務是一項可用性高且可擴充的 Google Cloud 服務,能讓客戶簡化、自動化與自訂私人憑證授權單位 (CA) 的部署、管理與安全防護作業,同時保有私人金鑰的控制權。
憑證授權單位服務的常見用途為何?
以下是 CA 服務的一些常見用途。
- 工作負載身分:運用 API 取得應用程式的憑證,或在應用程式、容器、系統和其他資源中使用憑證。
- 企業情境:使用憑證進行 VPN、Chrome Enterprise Premium、文件簽署、Wi-Fi 存取、電子郵件、智慧卡等作業。
- 集中式憑證核發和管理:設定 GKE Enterprise 服務網格以使用 CA 服務。
- IoT 和行動裝置身分:核發 TLS 憑證做為端點的身分。
- 持續整合/持續推送軟體更新管道、二進位授權、Istio 和 Kubernetes。
CA Service 支援哪些法規遵循標準?
詳情請參閱「安全性與法規遵循」。
我們可以在哪些位置建立 CA 服務資源?
您可以在許多位置建立 CA Service 資源。如需完整清單,請參閱「地點」。
CA 服務是否支援單一根目錄下的全球 PKI?
可以,前提是根 CA 位於單一區域。不過,您可以在不同區域建立多個簽發 CA,並將這些 CA 鏈結至同一個根 CA。
CA 是否支援標籤?
可以,您可以在建立和更新作業期間,將標籤與 CA 集區和 CA 建立關聯。
如要瞭解如何更新 CA 集區的標籤,請參閱「更新 CA 集區的標籤」。
如要瞭解如何更新 CA 的標籤,請參閱「更新 CA 的標籤」。
是否可以使用 Cloud Monitoring 追蹤憑證建立和 CA 過期時間?是否可以為這些事件產生 Pub/Sub 事件?
可以,你可以監控所有這些事件。CA Service 原生不支援 Pub/Sub,但您可以使用 Cloud Monitoring 進行設定。詳情請參閱「將 Cloud Monitoring 與 CA 服務搭配使用」一文。
未啟用的 CA 會保留多久?
從屬 CA 會在 AWAITING_USER_ACTIVATION 狀態下建立,並在啟用後設為 STAGED 狀態。如果子項 CA 在建立 30 天後仍處於 AWAITING_USER_ACTIVATION 狀態,系統就會刪除該 CA。
如要瞭解 CA 在生命週期中的各種狀態,請參閱「憑證授權單位狀態」。
CA 服務支援哪些憑證核發存取權控管?
憑證授權單位服務支援在憑證授權單位集區中設定 IAM 政策,控管憑證核發對象。CA 管理員可以將核發政策附加至 CA 集區。這項核發政策會限制 CA 集區中的 CA 可核發的憑證類型。這些限制包括網域名稱、副檔名和憑證效期等。
如要進一步瞭解如何在 CA 集區設定核發政策,請參閱「使用核發政策」。
如要瞭解如何設定必要的 IAM 政策,以便建立及管理 CA 服務資源,請參閱「設定 IAM 政策」。
憑證授權單位服務是否支援多區域 Cloud KMS 金鑰?
否,CA Service 不支援多區域 Cloud KMS 金鑰。
CA 服務會限制我的要求嗎?CA 服務的目標 QPS 為何?
是,CA 服務設有節流機制。詳情請參閱「配額與限制」。
CA Service 是否支援 VPC Service Controls?
是,CA Service 支援 VPC Service Controls。詳情請參閱「支援的產品和限制 > Certificate Authority Service」和「安全性與合規性」。
如何搭配 REST API 使用 PEM 編碼公開金鑰?
PEM 編碼的公開金鑰必須經過 Base64 編碼,才能搭配 REST API 使用。
CA 服務正式推出後,是否仍可使用預先發布階段的 API?
可以。CA Service 宣布正式發布後,您仍可在短期內使用預先發布版 API。這段期間僅供客戶順利改用最新 API,時間不長,且支援有限。建議客戶盡快改用 GA API。
CA 服務宣布正式發布後,如何存取預先發布期間建立的資源?
您無法使用 Google Cloud 控制台,查看或管理在預先發布期間建立的資源。如要管理在預先發布期間建立的資源,請使用預先發布 API 或預先發布 gcloud 指令。您可以透過 https://privateca.googleapis.com/v1beta1/ 端點存取預覽版 API。
您可透過 gcloud privateca beta 存取預覽版 gcloud 指令。如要進一步瞭解 gcloud privateca beta 指令,請參閱 gcloud privateca beta。
從屬 CA 的主體和金鑰是否可以與鏈結中的另一個 CA 相同?
否,從屬 CA 的主體和金鑰不得與根 CA 或鏈結中的任何其他 CA 相同。RFC 4158 建議路徑中不要重複主體名稱和公開金鑰組。
客戶自行管理的 Cloud KMS 金鑰與 CMEK 相同嗎?
否,CA Service 支援的客戶管理 Cloud KMS 金鑰,與使用 Cloud KMS 管理的客戶管理加密金鑰 (CMEK) 不同。在 CA Service 中,您可以為 Enterprise 方案的 CA 建立自己的客戶代管 Cloud KMS 金鑰 (也稱為自備金鑰)。這類金鑰會做為 CA 的簽署金鑰使用,與 CMEK 等加密金鑰不同,後者用於加密支援服務 Google Cloud 中的靜態資料。CA 服務不支援 CMEK。
資源刪除後,可以重複使用資源名稱嗎?
否,刪除原始資源後,您無法在新資源中重複使用資源名稱,例如 CA 集區、CA 和憑證範本的名稱。舉例來說,如果您建立名為 projects/Charlie/locations/Location-1/caPools/my-pool 的 CA 集區,然後刪除該集區,就無法在專案 Charlie 和位置 Location-1 中建立名為 my-pool 的 CA 集區。