Public Certificate Authority CA를 사용하면 인증서 요청자가 도메인을 제어하는지 확인한 후 광범위하게 신뢰할 수 있는 X.509 인증서를 프로비저닝하고 배포할 수 있습니다. Public CA를 사용하면 주요 브라우저, 운영체제, 애플리케이션에서 사용하는 신뢰할 수 있는 루트의 저장소에 이미 있는 공개적으로 신뢰할 수 있는 TLS 인증서를 직접, 프로그래매틱 방식으로 요청할 수 있습니다. 이러한 TLS 인증서를 사용하여 인터넷 트래픽을 인증하고 암호화할 수 있습니다.
Public CA를 사용하면 기존 CA가 지원할 수 없었던 대량의 사용 사례를 관리할 수 있습니다. Google Cloud 고객은 도메인의 TLS 인증서를 Public CA에서 직접 요청할 수 있습니다.
대부분의 인증서 관련 문제는 사람의 오류나 감독으로 인해 발생하므로 인증서 수명 주기를 자동화하는 것이 좋습니다. Public CA는 인증서의 자동 프로비저닝, 갱신, 취소에 자동 인증서 관리 환경(ACME) 프로토콜을 사용합니다. 자동 인증서 관리는 만료된 인증서로 인해 발생할 수 있는 다운타임을 줄이고 운영 비용을 최소화합니다.
Public CA는 App Engine, Cloud Shell, Google Kubernetes Engine, Cloud Load Balancing과 같은 여러 Google Cloud 서비스에 TLS 인증서를 프로비저닝합니다.
Public CA를 사용해야 하는 사용자
다음과 같은 이유로 Public CA를 사용할 수 있습니다.
- 유비쿼터스, 확장성, 보안, 안정성이 높은 TLS 제공업체를 찾는 경우
- 단일 클라우드 제공업체에서 온프레미스 워크로드 및 교차 클라우드 제공업체 설정을 비롯한 인프라에 대한 TLS 인증서를 전부는 아니더라도 대부분 원하는 경우
- 인프라 요구사항에 맞게 맞춤설정하기 위해 TLS 인증서 관리에 대한 제어 및 유연성이 필요한 경우
- TLS 인증서 관리를 자동화하려고 하지만 GKE 또는 Cloud Load Balancing과 같은 Google Cloud 서비스에서 관리형 인증서를 사용할 수 없는 경우
비즈니스 요구사항에 따라 다른 옵션이 허용되지 않는 경우에만 공개적으로 신뢰할 수 있는 인증서를 사용하는 것이 좋습니다. 공개 키 인프라(PKI) 계층 구조 유지에 따른 취득 비용과 복잡성을 고려하여 많은 기업은 비공개 계층 구조가 더 적절하더라도 공개 PKI 계층 구조를 사용합니다.
여러 Google Cloud 솔루션을 통해 공개 및 비공개 계층 구조를 유지관리하는 것이 훨씬 간단해졌습니다. 사용 사례에 적합한 PKI 유형 유형을 신중하게 선택하는 것이 좋습니다.
비공개 인증서 요구사항의 경우 Google Cloud는 관리하기 쉬운 두 가지 솔루션을 제공합니다.
Anthos Service Mesh: Anthos Service Mesh에는 Anthos Service Mesh 인증 기관(Mesh CA)을 사용하여 GKE Enterprise에서 실행되는 워크로드에 대해 완전히 자동화된 mTLS 인증서 프로비저닝이 포함됩니다.
Certificate Authority Service: Certificate Authority Service를 사용하면 인프라를 관리하지 않고도 커스텀 비공개 CA를 효율적으로 배포, 관리, 보호할 수 있습니다.
Public CA의 이점
Public CA는 다음과 같은 이점을 제공합니다.
자동화: 인터넷 브라우저가 완전 암호화된 트래픽과 인증서 유효 기간 감소를 목표로 하므로 만료된 TLS 인증서를 사용할 위험이 있습니다. 인증서 만료는 웹사이트 오류로 이어질 수 있으며 서비스가 중단될 수 있습니다. Public CA는 ACME 엔드포인트에서 필요한 TLS 인증서를 자동으로 가져와 갱신하도록 HTTPS 서버를 설정하여 인증서 만료 문제를 방지합니다.
규정 준수: Public CA는 보안, 개인 정보 보호, 규정 준수 관리에 대해 정기적으로 엄격하고 독립적인 감사를 받습니다. 이러한 연간 감사 결과로 부여된 Webtrust 인증은 Public CA가 모든 관련 업계 표준을 준수함을 입증합니다.
보안: Public CA의 아키텍처 및 운영은 가장 높은 수준의 보안 표준으로 설계되었으며, 독립적인 평가를 정기적으로 수행하여 기본 인프라의 보안을 확인합니다. Public CA는 Google 보안 백서에 언급된 모든 제어, 운영 관행, 보안 조치를 충족하거나 초과합니다.
Public CA의 보안에 대한 집중은 다중 관점 도메인 검증과 같은 기능으로 확장됩니다. Public CA의 인프라는 전 세계에 분산됩니다. 따라서 Public CA는 지리적으로 다양한 관점에서 높은 수준의 계약을 요구하므로, 경계 경로 프로토콜(BGP) 도용 및 도메인 이름 서버(DNS) 도용 공격에 대한 보호를 제공합니다.
안정성: Google의 입증된 기술 인프라를 사용하므로 Public CA는 가용성이 높고 확장 가능한 서비스를 제공합니다.
유비쿼터스: Google Trust Services의 강력한 브라우저 유비쿼터스는 Public CA에서 발급하는 인증서를 사용하는 서비스가 가능한 가장 광범위한 기기 및 운영체제에서 작동하도록 합니다.
하이브리드 설정을 위한 간소화된 TLS 솔루션: Public CA를 사용하면 다양한 시나리오 및 사용 사례에 동일한 CA를 사용하는 커스텀 TLS 인증서 솔루션을 빌드할 수 있습니다. Public CA는 워크로드가 온프레미스 또는 교차 클라우드 제공업체 환경에서 실행되는 사용 사례를 효과적으로 지원합니다.
확장: 인증서는 취득하는 데 비용이 많이 들고 프로비저닝 및 유지 관리하기가 어려운 경우가 많았습니다. Public CA를 사용하면 대량의 인증서에 액세스할 수 있으므로 이전에는 비실용적이라고 생각했던 방식으로 인증서를 활용하고 관리할 수 있습니다.
Public CA의 제한사항
이 Public CA 출시 버전에서는 퓨니코드 도메인을 지원하지 않습니다.