管理資源

透過憑證授權單位服務建立的憑證授權單位，會依附於兩種次要資源類型：

• Cloud Key Management Service 金鑰版本，用於簽署 CA 發布的憑證和憑證撤銷清單 (CRL)。如要進一步瞭解金鑰版本，請參閱「金鑰版本」。
• Cloud Storage 值區，用於代管 CA 憑證和 CA 發布的任何 CRL (如果已啟用這些設定)。如要進一步瞭解 Cloud Storage bucket，請參閱「Bucket」。

每個 CA 都必須有這兩項資源，且 CA 建立後就無法變更。

管理模型

CA 服務支援下列資源的兩種生命週期管理模型：

• Google 代管
• 由客戶自行管理

Cloud KMS 金鑰和 Cloud Storage 值區不必使用相同的管理模型。舉例來說，Cloud KMS 金鑰可由 Google 管理，而 Cloud Storage 值區可由客戶管理，反之亦然。

Google 代管

CA 服務會根據這個模型，在建立 CA 時自動建立及設定資源，並在刪除 CA 時刪除資源。系統不會針對這些資源另外收費。

根據預設，新的 CA 會使用 Google 代管的 Cloud KMS 金鑰和 Cloud Storage 值區。Google 管理的 Cloud KMS 金鑰使用 HSM 保護層級，且不會在 CA 之間重複使用。建立 CA 時，您可以為 Google 管理的 Cloud KMS 金鑰選擇特定金鑰演算法。Google 管理的 Cloud KMS 金鑰不會在不同 CA 之間重複使用。

如要瞭解如何建立根 CA，請參閱建立根 CA。如要瞭解如何建立從屬 CA，請參閱「建立從屬 CA」。如需選擇金鑰演算法的指引，請參閱「選擇金鑰演算法」。

由客戶自行管理

您只能為企業版的 CA 建立客戶管理的資源。您必須先建立及設定客戶管理的資源，才能建立 CA。此外，憑證授權單位毀損後，您必須在適當時間刪除這些資源。系統會直接向使用者收取這些資源的費用。客戶管理的 Cloud KMS 金鑰可使用 HSM、軟體或外部保護層級。

憑證授權單位服務會將專案視為客戶管理 Cloud KMS 金鑰的安全防護界線。舉例來說，假設使用者 Alice 在專案 test 中，使用客戶代管的 Cloud KMS 金鑰建立 CA。接著，另一位使用者 Bob 就能使用相同的 Cloud KMS 金鑰，在同一個專案中建立另一個 CA。Alice 必須擁有金鑰的管理員存取權才能建立第一個 CA，但 Bob 不需要該金鑰的任何存取權，因為 Alice 已在專案 test 中啟用 CA 服務的金鑰使用權。

建立客戶管理的資源的優點

這個模型的優點之一是呼叫端可直接控管這些資源。來電者可直接更新屬性，例如存取權管理，以符合機構需求。

如要使用客戶管理的資源建立 CA，呼叫端必須具備這些資源的管理存取權，才能授予 CA 服務適當的存取權。詳情請參閱「 CA Service Service Agent」。

Cloud KMS 金鑰位置

您建立客戶代管的 Cloud KMS 金鑰時，位置必須與 CA Service 資源相同。如需 CA 服務的完整位置清單，請參閱「位置」。如要查看可建立 Cloud KMS 資源的位置清單，請參閱 Cloud KMS 位置。

Cloud Storage 值區位置

您必須在與 CA Service 資源大致相同的位置，建立客戶管理的 Cloud Storage 值區。您無法在建立 CA 服務資源的大陸以外，建立 Cloud Storage bucket。

舉例來說，如果您的 CA 位於 us-west1，您可以在美國的任何單一區域 (例如 us-west1 或 us-east1)、雙區域 NAM4 和多區域 US 中建立 Cloud Storage 值區。

如需可建立 Cloud Storage 資源的位置清單，請參閱 Cloud Storage 位置。

代管資源的存取權

根據預設，只要擁有託管在 Cloud Storage 值區的 CA 憑證 URL，或 CA 發布的任何 CRL，即可存取這些資源。如要防止公開存取 CA 憑證和 CRL，請將包含 CA 集區的專案新增至 VPC Service Controls 範圍。

將含有 CA 集區的專案新增至 VPC Service Controls 範圍後，Google 管理的 Cloud Storage bucket 就會加入該範圍。VPC Service Controls 範圍可確保無法從核准的網路外部存取 Cloud Storage 值區。

網路邊界內的用戶端仍可存取 CRL 和 CA 憑證，無須驗證。來自核准網路以外的存取要求會失敗。

CA 憑證和 CRL 的 HTTP 網址

CA 憑證和 CRL 可透過 HTTP 型網址存取，原因如下：

• 發布至 Cloud Storage 值區的 CA 憑證不應直接受到用戶端信任。CA 憑證是憑證鏈的一部分，該憑證鏈會從根 CA 的憑證開始。憑證鏈結中的每個憑證都會由鏈結中較高的 CA 憑證簽署，以維護憑證的完整性。因此，使用 HTTPS 通訊協定並無額外優勢。

• 部分用戶端會在驗證憑證時拒絕以 HTTPS 為基礎的網址。

為 CA 集區中的 CA 啟用 CA 憑證和 CRL 發布功能

建立新的 CA 集區時，CA 服務預設會將 CA 憑證和 CRL 發布至 Cloud Storage 值區。如果您在建立 CA 集區時停用了 CA 憑證和 CRL 發布功能，現在想要啟用，請按照本節的指示操作。

如要為 CA 集區中的所有 CA 啟用 CA 憑證發布和 CRL 發布功能，請按照下列步驟操作：

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert

如要進一步瞭解如何啟用 CRL 發布功能來撤銷憑證，請參閱「撤銷憑證」。

為 CA 集區中的 CA 停用 CA 憑證和 CRL 發布功能

如要為 CA 集區中的所有 CA 停用 CA 憑證發布或 CRL 發布功能，請按照下列步驟操作：

gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert

停用發布點不會刪除 Cloud Storage bucket 或其權限，也不會移除已儲存在該處的任何 CA 憑證或 CRL。但這表示日後不會再將 CRL 發布至 Cloud Storage 值區，且日後的憑證不會有 AIA 和 CDP 擴充功能。

更新已發布的 CA 憑證和 CRL 編碼格式

如要更新已發布 CA 憑證和 CRL 的編碼格式，請按照下列步驟操作：

gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

後續步驟

• 瞭解如何建立 CA 集區。
• 瞭解如何建立根 CA。
• 瞭解如何建立下層 CA。
• 瞭解如何從外部 CA 建立從屬 CA。