Sie können die Zertifizierungsstelle der öffentlichen Zertifizierungsstelle verwenden, um weit vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem geprüft wurde, ob der Zertifikatsanforderer die Domains steuert. Public CA können Sie direkt und programmatisch öffentlich vertrauenswürdige TLS-Zertifikate anfordern, die sich bereits im Root of Trust Stores befinden, die von wichtigen Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate zur Authentifizierung und Verschlüsselung des Internettraffics verwenden.
Public CA können Sie Anwendungsfälle mit hohem Volumen verwalten, die herkömmliche Zertifizierungsstellen nicht unterstützen konnten. Wenn Sie Google Cloud-Kunde sind, können Sie TLS-Zertifikate für Ihre Domains direkt von der öffentlichen Zertifizierungsstelle anfordern.
Die meisten Probleme mit Zertifikaten sind auf menschliche Fehler oder Unklarheiten zurückzuführen. Daher empfehlen wir, den Lebenszyklus von Zertifikaten zu automatisieren. Public CA verwendet das ACME-Protokoll (Automatic Certificate Management Environment) für die automatische Bereitstellung, Verlängerung und den Widerruf von Zertifikaten. Die automatische Zertifikatsverwaltung reduziert Ausfallzeiten, die durch abgelaufene Zertifikate verursacht werden können, und minimiert die Betriebskosten.
Public CA stellt TLS-Zertifikate für verschiedene Google Cloud-Dienste wie App Engine, Cloud Shell, Google Kubernetes Engine und Cloud Load Balancing bereit.
Wer sollte eine Public CA verwenden?
Sie können eine Public CA aus folgenden Gründen verwenden:
- Sie suchen einen TLS-Anbieter mit hoher Allgegenwärtigkeit, Skalierbarkeit, Sicherheit und Zuverlässigkeit.
- Sie möchten die meisten, wenn nicht sogar alle TLS-Zertifikate für Ihre Infrastruktur von einem einzigen Cloud-Anbieter, einschließlich lokaler Arbeitslasten und cloudübergreifender Konfigurationen, abrufen.
- Wenn Sie Kontrolle und Flexibilität über die TLS-Zertifikatsverwaltung benötigen, um sie an Ihre Infrastrukturanforderungen anzupassen.
- Sie können die TLS-Zertifikatsverwaltung automatisieren, aber keine verwalteten Zertifikate in Google Cloud-Diensten wie GKE oder Cloud Load Balancing verwenden.
Wir empfehlen, öffentlich vertrauenswürdige Zertifikate nur dann zu verwenden, wenn Ihre geschäftlichen Anforderungen keine andere Option zulassen. Angesichts der historischen Kosten und der Komplexität der Verwaltung von PKI-Hierarchien (Public-Key-Infrastruktur) verwenden viele Unternehmen öffentliche PKI-Hierarchien, auch wenn eine private Hierarchie sinnvoller ist.
Durch die Verwendung mehrerer Google Cloud-Angebote ist die Verwaltung öffentlicher und privater Hierarchien viel einfacher geworden. Wir empfehlen Ihnen, den richtigen Typ von PKI für Ihren Anwendungsfall sorgfältig auszuwählen.
Für nicht öffentliche Zertifikate bietet Google Cloud zwei einfach zu verwaltende Lösungen:
Anthos Service Mesh: Cloud Service Mesh umfasst eine vollständig automatisierte Bereitstellung von mTLS-Zertifikaten für Arbeitslasten, die in GKE Enterprise über die Cloud Service Mesh-Zertifizierungsstelle (Cloud Service Mesh-Zertifizierungsstelle) ausgeführt werden.
Certificate Authority Service: Mit Certificate Authority Service können Sie benutzerdefinierte private Zertifizierungsstellen effizient bereitstellen, verwalten und schützen, ohne die Infrastruktur verwalten zu müssen.
Vorteile Public CA
Public CA bietet folgende Vorteile:
Automatisierung: Da Webbrowser auf vollständig verschlüsselten Traffic und eine Reduzierung der Gültigkeit von Zertifikaten abzielen, besteht das Risiko, dass abgelaufene TLS-Zertifikate verwendet werden. Der Ablauf eines Zertifikats kann zu Websitefehlern und Dienstausfällen führen. Public CA vermeiden das Problem des Zertifikatsablaufs. Sie können damit Ihren HTTPS-Server so einrichten, dass die erforderlichen TLS-Zertifikate automatisch von unserem ACME-Endpunkt abgerufen und verlängert werden.
Compliance: Public CA wird regelmäßig strengen unabhängigen Prüfungen der Sicherheits-, Datenschutz- und Compliancekontrollen unterzogen. Mit den Webtrust-Siegeln, die im Rahmen dieser jährlichen Prüfungen vergeben werden, wird die Konformität der Public CA mit allen relevanten Branchenstandards belegt.
Sicherheit: Architektur und Betrieb von Public CA sind nach höchsten Sicherheitsstandards konzipiert und führen regelmäßig unabhängige Prüfungen durch, um die Sicherheit der zugrunde liegenden Infrastruktur zu bestätigen. Public CA erfüllt oder übertrifft alle im Whitepaper zur Sicherheit von Google genannten Kontrollen, Betriebspraktiken und Sicherheitsmaßnahmen.
Der Fokus von Public CA auf Sicherheit erstreckt sich auch auf Funktionen wie die multiperspektive Domainvalidierung. Die Infrastruktur einer Public CA ist global verteilt. Public CA erfordern daher ein hohes Maß an Zustimmung zu geografisch unterschiedlichen Perspektiven und bieten Schutz vor Border Gateway Protocol (BGP)-Hacking und DNS-Hijacking (Domain Name Server).
Zuverlässigkeit: Durch die Verwendung der bewährten technischen Infrastruktur von Google wird Public CA zu einem hochverfügbaren und skalierbaren Dienst.
Ubiquity:Die Google Trust Services sind in Browsern sehr weit verbreitet. Dadurch wird sichergestellt, dass Dienste, die von einer Public CA ausgestellte Zertifikate verwenden, auf möglichst vielen Geräten und Betriebssystemen funktionieren.
Optimierte TLS-Lösungen für Hybrideinrichtungen: Mit einer Public CA können Sie eine benutzerdefinierte TLS-Zertifikatslösung erstellen, die für verschiedene Szenarien und Anwendungsfälle dieselbe Zertifizierungsstelle verwendet. Public CA eignen sich für Anwendungsfälle, in denen Arbeitslasten lokal oder in der Umgebung eines cloudübergreifenden Anbieters ausgeführt werden.
Skalierung: Der Erwerb und die Bereitstellung von Zertifikaten war oft mit hohen Kosten verbunden. Da Sie mit einer Public CA Zugriff auf große Mengen von Zertifikaten bieten, können Sie Zertifikate auf eine Weise verwenden und verwalten, die zuvor als unpraktisch galt.
Einschränkungen Public CA
Diese Version der Public CA unterstützt keine Punycode-Domains.