Esta página foi traduzida pela API Cloud Translation.

CA pública

Pode usar a autoridade de certificação pública para aprovisionar e implementar certificados X.509 amplamente fidedignos depois de validar que o requerente do certificado controla os domínios. A AC pública permite-lhe pedir diretamente e por programação certificados TLS publicamente fidedignos que já se encontram na raiz dos repositórios fidedignos usados pelos principais navegadores, sistemas operativos e aplicações. Pode usar estes certificados TLS para autenticar e encriptar o tráfego da Internet.

As ACs públicas permitem-lhe gerir exemplos de utilização de volume elevado que as ACs tradicionais não conseguiram suportar. Se for um Google Cloud cliente, pode pedir certificados TLS para os seus domínios diretamente à AC pública.

A maioria dos problemas relacionados com certificados deve-se a erro humano ou negligência. Por isso, recomendamos a automatização dos ciclos de vida dos certificados. A AC pública usa o protocolo Automatic Certificate Management Environment (ACME) para o aprovisionamento, a renovação e a revogação automáticos de certificados. A gestão automatizada de certificados reduz o tempo de inatividade que os certificados expirados podem causar e minimiza os custos operacionais.

A AC pública aprovisiona certificados TLS para vários Google Cloud serviços, como o App Engine, o Cloud Shell, o Google Kubernetes Engine e o Cloud Load Balancing.

Quem deve usar a CA pública

Pode usar a AC pública pelos seguintes motivos:

Se procura um fornecedor de TLS com elevada ubiquidade, escalabilidade, segurança e fiabilidade.
Se quiser a maioria, se não todos, os certificados TLS para a sua infraestrutura, incluindo cargas de trabalho no local e configurações de fornecedores de nuvem cruzados, de um único fornecedor de nuvem.
Se precisar de controlo e flexibilidade sobre a gestão de certificados TLS para os personalizar de acordo com os requisitos da sua infraestrutura.
Se quiser automatizar a gestão de certificados TLS, mas não puder usar certificados geridos em serviços, como o GKE ou o Cloud Load Balancing. Google Cloud

Recomendamos que use apenas certificados fidedignos publicamente quando os requisitos da sua empresa não permitirem outra opção. Dada a complexidade e o custo histórico da manutenção das hierarquias de infraestrutura de chave pública (PKI), muitas empresas usam hierarquias de PKI públicas, mesmo quando uma hierarquia privada faz mais sentido.

A manutenção de hierarquias públicas e privadas tornou-se muito mais simples com várias Google Cloud ofertas. Recomendamos que escolha cuidadosamente o tipo certo de ICP para o seu exemplo de utilização.

Para requisitos de certificados não públicos, Google Cloud oferece duas soluções fáceis de gerir:

Anthos Service Mesh: o Cloud Service Mesh inclui o aprovisionamento de certificados mTLS totalmente automatizado para cargas de trabalho em execução no GKE Enterprise através da autoridade de certificação do Cloud Service Mesh (autoridade de certificação do Cloud Service Mesh).
Serviço de autoridade de certificação: O Serviço de autoridade de certificação permite-lhe implementar, gerir e proteger ACs privadas personalizadas de forma eficiente sem gerir infraestrutura.

Vantagens da CA pública

A AC pública oferece as seguintes vantagens:

Automatização: à medida que os navegadores de Internet visam um tráfego totalmente encriptado e a redução dos períodos de validade dos certificados, existe um risco de utilização de certificados TLS expirados. A expiração do certificado pode originar erros no Website e causar indisponibilidades do serviço. A AC pública evita o problema de expiração do certificado, permitindo-lhe configurar o servidor HTTPS para obter e renovar automaticamente os certificados TLS necessários a partir do nosso ponto final ACME.
Conformidade: a AC pública é submetida a auditorias independentes rigorosas regulares dos controlos de segurança, privacidade e conformidade. Os selos Webtrust concedidos como resultado destas auditorias anuais demonstram a conformidade da CA pública com todas as normas da indústria relevantes.
Segurança: a arquitetura e as operações da CA pública são concebidas de acordo com os padrões de segurança mais elevados e executam regularmente avaliações independentes para confirmar a segurança da infraestrutura subjacente. A AC pública cumpre ou excede todos os controlos, as práticas operacionais e as medidas de segurança mencionados no documento técnico de segurança da Google.

O foco das ACs públicas na segurança estende-se a funcionalidades como a validação de domínio com várias perspetivas. A infraestrutura das ACs públicas está distribuída a nível global. Por conseguinte, a CA pública requer um elevado grau de acordo entre perspetivas geograficamente diversas, o que oferece proteção contra ataques de roubo do Protocolo de Gateway de Fronteira (BGP) e roubo do servidor de nomes de domínio (DNS).
Fiabilidade: a utilização da infraestrutura técnica comprovada da Google torna a CA pública um serviço altamente disponível e escalável.
Ubiquidade: a forte ubiquidade do navegador dos Google Trust Services ajuda a garantir que os serviços que usam certificados emitidos pela CA pública funcionam no maior número possível de dispositivos e sistemas operativos.
Soluções TLS simplificadas para configurações híbridas: a AC pública permite-lhe criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e exemplos de utilização. A AC pública serve eficazmente os exemplos de utilização em que as cargas de trabalho são executadas nas instalações ou num ambiente de fornecedor de várias nuvens.
Escala: os certificados têm sido frequentemente dispendiosos de obter e difíceis de aprovisionar e manter. Ao oferecer acesso a grandes volumes de certificados, a AC pública permite-lhe utilizar e gerir certificados de formas que eram anteriormente consideradas impraticáveis.

Use a AC pública com o Gestor de certificados

Para usar a funcionalidade de AC pública do Gestor de certificados, tem de estar familiarizado com os seguintes conceitos:

Cliente ACME. Um cliente do Automatic Certificate Management Environment (ACME) é um cliente de gestão de certificados que usa o protocolo ACME. O seu cliente ACME tem de suportar a vinculação de conta externa (EAB) para funcionar com a CA pública.
Vinculação de conta externa (EAB). Tem de associar cada conta ACME que está a usar com a AC pública do Certificate Manager ao Google Cloud projeto de destino através da associação de contas externas. Para o fazer, tem de registar cada conta ACME através de um segredo associado ao respetivo projeto Google Cloud . Para mais informações, consulte o artigo Associação de contas externas.

Desafios de CA pública

Quando usa a CA pública para pedir um certificado, o Certificate Manager pede-lhe que comprove o seu controlo sobre os domínios indicados nesse certificado. Pode comprovar o controlo do domínio resolvendo desafios. A AC pública autoriza os nomes de domínios depois de provar que tem o controlo dos domínios de destino.

Depois de obter as autorizações necessárias, pode pedir certificados válidos apenas durante um período específico. Após esta duração, tem de voltar a validar o nome do domínio resolvendo um dos três tipos de desafios para continuar a pedir certificados.

Tipos de desafio

A AC pública suporta os seguintes tipos de desafios:

Desafio HTTP. Este desafio envolve a criação de um ficheiro numa localização conhecida num servidor HTTP (porta 80) para a CA pública o obter e validar. Para mais informações, consulte o artigo Desafio HTTP.
Desafio de negociação de protocolo da camada de aplicação (ALPN) do TLS. Requer que um servidor forneça um certificado específico durante uma negociação de TLS na porta 443 para provar o controlo sobre um domínio. Para mais informações, consulte a extensão de desafio ACME TLS-ALPN.
Desafio de DNS. Requer a adição de um registo DNS específico numa localização definida para provar o controlo sobre um domínio. Para mais informações, consulte o artigo Desafio de DNS.

Se usar o desafio HTTP ou o desafio TLS-ALPN para validar um nome de domínio, o cliente só pode pedir que os nomes de domínio validados sejam incluídos num certificado. Se usar o desafio de DNS, o cliente também pode pedir que os subdomínios desse nome de domínio sejam incluídos num certificado.

Por exemplo, se validar *.myorg.example.com através do desafio de DNS, subdomain1.myorg.example.com e subdomain2.myorg.example.com são automaticamente abrangidos pelo certificado de caráter universal. No entanto, se validar myorg.example.com através de um desafio HTTP ou TLS-ALPN, o cliente só pode pedir para incluir myorg.example.com no certificado e não pode validar *.myorg.example.com através dos desafios não DNS.

Desafie a lógica da solução

A lógica do desafio da AC pública é a seguinte:

A CA pública fornece um token aleatório.
O cliente disponibiliza o token numa localização bem definida. A localização depende do desafio.
O cliente indica à CA pública que preparou o desafio.
A AC pública verifica se o token presente na localização esperada corresponde ao valor esperado.

O nome do domínio é autorizado após a conclusão deste processo. O cliente pode pedir um certificado com esse nome de domínio. Só tem de resolver um desafio por nome de domínio.

O que se segue?

Peça um certificado através da CA pública (tutorial)

CA pública Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.