Vous pouvez utiliser l'autorité de certification publique de l'autorité de certification pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur contrôle les domaines. Public CA vous permettent directement et programmatiquement demander des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour pour authentifier et chiffrer le trafic Internet.
Public CA vous permettent de gérer de gros volumes de cas d'utilisation Les autorités de certification n'ont pas réussi à prendre en charge. Si vous êtes client Google Cloud, vous pouvez demander des certificats TLS pour vos domaines directement auprès d’une autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une supervision humaine. Nous recommandent d'automatiser les cycles de vie des certificats. L'Public CA utilise Environnement de gestion automatique des certificats (ACME) pour le provisionnement, le renouvellement et la révocation certificats. La gestion automatisée des certificats réduit les temps d'arrêt arrivés à expiration les certificats peuvent entraîner et réduire les coûts d'exploitation.
Public CA provisionne des certificats TLS pour plusieurs services Google Cloud tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser Public CA ?
Vous pouvez utiliser Public CA pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS disposant d'une grande disponibilité, d'une évolutivité la sécurité et la fiabilité.
- Si vous voulez la plupart, voire tous, des certificats TLS pour votre infrastructure, y compris des charges de travail sur site et des configurations de fournisseurs multicloud, un seul fournisseur de services cloud.
- Si vous avez besoin de contrôle et de flexibilité sur la gestion des certificats TLS pour à les adapter à vos exigences d'infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS mais que vous ne pouvez pas utiliser certificats gérés dans les services Google Cloud, tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats reconnus publiquement que si les exigences de votre entreprise n'autorisez pas d'autre option. Étant donné le coût et la complexité historiques liés à la maintenance de l'infrastructure de clé (PKI), de nombreuses entreprises utilisent une infrastructure PKI publique même lorsqu'une hiérarchie privée a plus de sens.
Il est devenu beaucoup plus simple de maintenir une hiérarchie publique et privée Offres Google Cloud. Nous vous conseillons de choisir le bon type PKI pour votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions solutions:
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement de certificats mTLS entièrement automatisé pour les charges de travail exécutées dans GKE Enterprise utilisant l'autorité de certification Cloud Service Mesh (autorité de certification Cloud Service Mesh)
Certificate Authority Service: Certificate Authority Service vous permet de déployer, gérer et sécuriser efficacement les autorités de certification privées personnalisées de l'infrastructure.
Avantages de Public CA
Public CA offrent les avantages suivants:
Automatisation: les navigateurs Internet cherchent à chiffrer entièrement le trafic la réduction des périodes de validité des certificats, il existe un risque d’utilisation les certificats TLS arrivés à expiration. L'expiration d'un certificat peut entraîner des erreurs sur le site Web, et peut causer des interruptions de service. L'Public CA évite d'expiration du certificat en vous laissant configurer votre serveur HTTPS pour obtenir et renouveler automatiquement les certificats TLS nécessaires auprès de notre ACME ; point de terminaison unique.
Conformité: Public CA sont régulièrement soumises à des contrôles indépendants les audits des contrôles de sécurité, de confidentialité et de conformité. Le site Webtrust sceaux accordés à l'issue de ces audits annuels démontrer la conformité de Public CA avec toutes les les normes du secteur.
Sécurité: l'architecture et les opérations de Public CA sont est conçue selon les normes de sécurité les plus strictes et s'exécute régulièrement. à des évaluations indépendantes pour confirmer la sécurité de l'infrastructure. Public CA respecte ou dépasse toutes les pratiques opérationnelles et mesures de sécurité mentionnées dans les Livre blanc sur la sécurité de Google
L'accent mis par Public CA sur la sécurité s'étend à des fonctionnalités telles que la validation de domaine dans plusieurs perspectives. L'infrastructure de Public CA est répartis dans le monde entier. Par conséquent, Public CA exige un niveau élevé d'accord sur des points de vue géographiques différents, ce qui offre une protection contre le piratage du protocole BGP (Border Gateway Protocol). et le détournement de serveur de noms de domaine (DNS).
Fiabilité: grâce à l'infrastructure technique éprouvée de Google, Public CA est un service disponibilité élevée et évolutif.
Ubiquité:l'omniprésence des navigateurs de Google Trust Services garantit que les services utilisant que les certificats d'autorités de certification publiques fonctionnent sur le plus large toute une gamme d'appareils et de systèmes d'exploitation.
Solutions TLS simplifiées pour les configurations hybrides: Public CA permettent vous créez une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Public CA diffuse efficacement les cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement de l'environnement du fournisseur d'identité.
Évolutivité: les certificats ont souvent été coûteux et difficiles à obtenir de provisionner et de gérer. En offrant l’accès à de grands volumes de certificats, Public CA vous permet d'utiliser et de gérer les certificats étaient auparavant considérées comme peu pratiques.
Limites de Public CA
Cette version de Public CA n'est pas compatible avec les domaines Punycode.