証明書リクエスト元がドメインを制御していることを確認したら、Public Certificate Authority CA を使用して、広く信頼されている X.509 証明書をプロビジョニングしてデプロイできます。Public CA を使用すると、主要なブラウザ、オペレーティング システム、アプリケーションで使用されるトラストストアのルートにすでに存在している TLS 証明書を、直接およびプログラムでリクエストできます。これらの TLS 証明書を使用して、インターネット トラフィックを認証して暗号化できます。
Public CA を使用すると、従来の CA ではサポートできなかった大量のユースケースを管理できます。Google Cloud のお客様は、ドメインの TLS 証明書をパブリック CA に直接リクエストできます。
証明書関連の問題のほとんどは人的ミスや見落としが原因であるため、証明書のライフサイクルを自動化することをおすすめします。Public CA は、証明書の自動プロビジョニング、更新、取り消しに自動証明書管理環境(ACME)プロトコルを使用します。自動化された証明書管理により、証明書の期限切れによるダウンタイムが短縮され、運用コストが最小限に抑えられます。
Public CA は、App Engine、Cloud Shell、Google Kubernetes Engine、Cloud Load Balancing など、いくつかの Google Cloud サービスに TLS 証明書をプロビジョニングします。
Public CA の対象ユーザー
Public CA は、次の理由のために使用できます。
- 遍在性、拡張性、セキュリティ、信頼性に優れた TLS プロバイダをお探しの場合。
- オンプレミス ワークロードやクロスクラウド プロバイダの設定など、1 つのクラウド プロバイダからインフラストラクチャに必要な TLS 証明書が必要な場合。
- TLS 証明書の管理をインフラストラクチャ要件に合わせてカスタマイズするために、制御と柔軟性が必要な場合。
- TLS 証明書の管理を自動化したいが、GKE や Cloud Load Balancing などの Google Cloud サービスでマネージド証明書を使用できない場合。
公的に信頼されている証明書は、ビジネス要件で他の選択肢が許可されていない場合にのみ使用することをおすすめします。公開鍵基盤(PKI)階層を維持する際の従来のコストと複雑さを考えると、多くの企業は、プライベート階層がより適切であっても、公開 PKI 階層を使用しています。
複数の Google Cloud サービスを使用することで、公開階層と非公開階層の維持がはるかに簡単になりました。ユースケースに適したタイプの PKI を慎重に選択することをおすすめします。
非公開証明書の要件に関して、Google Cloud には管理しやすい次の 2 つのソリューションが用意されています。
Anthos Service Mesh: Cloud Service Mesh には、Cloud Service Mesh 認証局(Cloud Service Mesh 認証局)を使用して GKE Enterprise で実行されているワークロード用に完全に自動化された mTLS 証明書プロビジョニングが含まれます。
Certificate Authority Service: Certificate Authority Service を使用すると、インフラストラクチャを管理することなく、カスタム プライベート CA を効率的にデプロイ、管理、保護できます。
Public CA の利点
Public CA には、次の利点があります。
自動化: インターネット ブラウザはトラフィックを完全に暗号化し、証明書の有効期間を短縮するため、期限切れの TLS 証明書を使用するリスクがあります。証明書の有効期限はウェブサイトのエラーにつながり、サービスが停止する可能性があります。Public CA は、HTTPS サーバーを設定して ACME エンドポイントから必要な TLS 証明書を自動的に取得して更新できるようにすることで、証明書の有効期限の問題を回避します。
コンプライアンス: Public CA は、セキュリティ、プライバシー、コンプライアンス管理に関する独立した機関による厳格な監査を定期的に受けています。これらの年次監査の結果として付与された Webtrust シールは、Public CA が、関連するすべての業界標準に準拠していることを示しています。
セキュリティ: Public CA のアーキテクチャとオペレーションは、最高レベルのセキュリティ基準に基づいて設計されており、基盤となるインフラストラクチャのセキュリティを確認するための独立した評価を定期的に実施しています。Public CA は、Google のセキュリティに関するホワイトペーパーに記載されている管理、運用、セキュリティ対策をすべて満たすか上回っています。
Public CA のセキュリティの焦点は、複数視点のドメイン検証などの機能に拡張されています。公開 CA のインフラストラクチャはグローバルに分散されています。そのため、Public CA は、地理的に多様な視点から高度な合意を必要とします。これにより、Border Gateway Protocol(BGP)ハイジャック攻撃とドメイン ネームサーバー(DNS)ハイジャック攻撃から保護できます。
信頼性: Google の実績ある技術インフラストラクチャの使用により、Public CA は可用性が高くスケーラブルなサービスとなっています。
遍在性: Google Trust Services の強力なブラウザ遍在性により、Public CA が発行する証明書を使用するサービスは、可能な限り幅広いデバイスやオペレーティング システムで動作します。
ハイブリッド設定のための合理化された TLS ソリューション: Public CA を使用すると、さまざまなシナリオとユースケースに同じ CA を使用するカスタム TLS 証明書ソリューションを構築できます。Public CA は、ワークロードがオンプレミスまたはクロスクラウド プロバイダ環境で実行されているユースケースを効果的に提供します。
スケーラビリティ: これまでの証明書は、取得にコストがかかり、プロビジョニングと維持が困難でした。Public CA では、大量の証明書にアクセスできるため、以前は非現実的と考えられていた方法で証明書を利用、管理できます。
Public CA の制限事項
このリリースの Public CA は、Punycode ドメインをサポートしていません。