Certificate Authority Service 概览

Certificate Authority Service (CA Service) 是一项伸缩能力极强的 Google Cloud 服务,可帮助您简化和自动执行 私有证书授权机构 (CA) 的部署、管理和安全维护。 私有 CA 颁发数字证书,其中包括实体身份、颁发者身份和加密签名。私有证书是对网络上的用户、机器或服务进行身份验证的最常见方式之一。私有证书通常用于 DevOps 环境,以保护容器、微服务、虚拟机和服务账号。

借助 CA Service,您可以执行以下操作:

  • 创建自定义根 CA 和从属 CA。
  • 定义 CA 的主题、密钥算法和位置。
  • 选择从属 CA 的区域,而无需考虑其根 CA 的区域。
  • 为常见的证书颁发场景创建可重复使用且带参数的模板。
  • 自带根 CA,并将其他 CA 配置为链接到本地或其他位置运行的现有根 CA。 Google Cloud
  • 使用 Cloud HSM 存储您的私有 CA 密钥, Cloud HSM 已通过 FIPS 140-2 3 级认证,可在美洲、欧洲和亚太的多个 区域中使用。
  • 借助 Cloud Audit Logs,可获取日志,清楚地了解谁在何时、何地执行过哪些操作。
  • 使用 Identity and Access Management (IAM) 定义精细的访问权限控制机制,并使用 VPC Service Controls 定义虚拟安全边界。
  • 管理大量证书,因为 CA Service 支持每个 CA 每秒颁发最多 25 个证书(DevOps 层级),这意味着每个 CA 可以颁发数百万个证书。您可以在一个称为 CA 池的颁发端点后创建多个 CA,并将传入的证书请求分配给所有 CA。借助此功能,您每秒最多可以颁发 100 个证书。
  • 通过对您而言最方便的方式(API、Google Cloud CLI、控制台或 Terraform)管理和集成私有 CA,并自动进行部署。 Google Cloud

证书使用场景

您可以使用私有 CA 为以下使用场景颁发证书:

  • 软件供应链完整性和代码身份:代码签名、工件 身份验证和应用身份证书。
  • 用户身份:客户端身份验证证书,用作零信任网络、VPN、文档签名、电子邮件、智能卡等的用户身份 。
  • IoT 和移动设备标识:客户端身份验证证书,用作设备标识和身份验证(例如无线访问)。
  • 服务内身份:微服务使用的 mTLS 证书。
  • 持续集成和持续交付 (CI/CD) 渠道:代码 签名证书在整个 CI/CD 构建过程中使用,以提高代码完整性和 安全性。
  • Kubernetes 和 Istio:用于保护 Kubernetes 和 Istio 组件之间连接的证书。

为何选择私有 PKI

在典型的 Web 公钥基础架构 (PKI) 中,全球数百万客户信任一组独立的证书授权机构 (CA),以在证书中声明身份(例如网域名)。作为其职责的一部分,CA 承诺仅在独立验证证书中的身份后才颁发证书。例如,CA 通常需要先验证请求网域名 example.com 证书的人员是否实际控制该网域,然后才能向其颁发证书。由于这些 CA 可以为数百万可能没有直接关系的客户颁发证书,因此它们只能声明可公开验证的身份。这些 CA 仅限于在 Web PKI 中一致应用的某些明确定义的验证流程。

与 Web PKI 不同,私有 PKI 通常涉及较小的 CA 层次结构,该层次结构由组织直接管理。私有 PKI 仅向固有信任组织具有适当控制机制(例如该组织拥有的机器)的客户端发送证书。由于 CA 管理员通常有自己的方式来验证其颁发证书的身份(例如向自己的员工颁发证书),因此他们不受与 Web PKI 相同的要求限制。这种灵活性是私有 PKI 相对于 Web PKI 的主要优势之一。私有 PKI 支持新的使用场景,例如使用短网域名保护内部网站,而无需拥有这些名称的唯一所有权,或者将替代身份格式(例如 SPIFFE ID)编码到证书中。

此外,Web PKI 要求所有 CA 将其颁发的每个证书记录到公共 证书透明度日志中,而向内部服务颁发证书的组织可能不需要这样做。私有 PKI 允许组织将其内部基础架构拓扑(例如其网络服务或应用的名称)对世界其他地方保密。

后续步骤