验证证书请求者可以控制网域后,您可以使用公共证书授权机构 CA 预配和部署广受信任的 X.509 证书。通过 Public CA,您可以直接以编程方式请求公开信任的 TLS 证书,这些证书已存在于主要浏览器、操作系统和应用使用的信任根中。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。
通过 Public CA,您可以管理传统 CA 无法支持的大量用例。如果您是 Google Cloud 客户,则可以直接向公共 CA 申请网域的 TLS 证书。
大多数证书相关问题都是由于人为错误或疏忽造成的,因此我们建议自动执行证书生命周期。Public CA 使用自动证书管理环境 (ACME) 协议自动预配、续订和撤消证书。自动证书管理可减少证书过期可能造成的停机时间,并最大限度地降低运营费用。
Public CA 为多种 Google Cloud 服务(例如 App Engine、Cloud Shell、Google Kubernetes Engine 和 Cloud Load Balancing)预配 TLS 证书。
谁应该使用 Public CA
您可以出于以下原因使用 Public CA:
- 如果您正在寻找具有高普遍性、可伸缩性、安全性和可靠性的 TLS 提供商。
- 如果您需要从单个云服务提供商处为您的基础架构(包括本地工作负载和跨云提供商设置)使用大多数(如果不是全部)TLS 证书。
- 如果您需要对 TLS 证书管理进行控制和灵活性,以便根据您的基础架构需求对其进行自定义。
- 如果您希望自动执行 TLS 证书管理,但无法在 Google Cloud 服务(例如 GKE 或 Cloud Load Balancing)中使用代管式证书。
我们建议您仅在业务要求不允许使用其他选项时,才使用公开可信证书。鉴于维护公钥基础架构 (PKI) 层次结构的历史费用和复杂性,即使专用层次结构更合理,许多企业也会使用公开 PKI 层次结构。
使用多个 Google Cloud 产品可以更轻松地维护公共和私有层次结构。我们建议您仔细选择适合您的用例的 PKI 类型。
对于非公共证书要求,Google Cloud 提供了两种易于管理的解决方案:
Anthos Service Mesh:Anthos Service Mesh 包含使用 Anthos Service Mesh 证书授权机构 (Mesh CA) 在 GKE Enterprise 中运行的工作负载的完全自动化 mTLS 证书预配。
Certificate Authority Service:借助 Certificate Authority Service,您可以高效地部署、管理和保护自定义私有 CA,而无需管理基础架构。
Public CA 的优势
Public CA 具有以下优势:
自动化:由于互联网浏览器旨在实现完全加密的流量并缩短证书的有效期,因此存在使用过期 TLS 证书的风险。证书过期可能会导致网站错误,并可能导致服务中断。Public CA 允许您将 HTTPS 服务器设置为从我们的 ACME 端点自动获取并续订必要的 TLS 证书,从而避免证书过期的问题。
合规性:Public CA 会定期接受安全性、隐私权和合规性控制措施方面的严格独立审核。这些年度审核授予了公共 CA 的 Webtrust 印章,证明公共 CA 符合所有相关行业标准。
安全性:Public CA 的架构和操作按照最高安全标准设计,并定期运行独立评估以确认底层基础架构的安全性。Public CA 达到或超出 Google 安全白皮书中提及的所有控制措施、操作做法和安全措施。
Public CA 对安全性的关注扩展到了多视角网域验证等功能。Public CA 的基础架构遍布全球。因此,Public CA 要求地理位置多元化视角具有高度一致性,以防范边界网关协议 (BGP) 黑客攻击和域名服务器 (DNS) 黑客攻击攻击。
可靠性:采用 Google 久经考验的技术基础架构,使得 Public CA 成为一项高可用性且可伸缩的服务。
无处不在:Google Trust Services 的浏览器非常普及,这可确保使用由 Public CA 签发的证书的服务可在尽可能多的设备和操作系统上运行。
简化混合设置的 TLS 解决方案:通过 Public CA,您可以构建针对多种场景和使用场景使用同一 CA 的自定义 TLS 证书解决方案。Public CA 可有效地服务工作负载在本地或跨云提供商环境中运行的使用场景。
扩缩:证书通常获取成本高昂,并且难以预配和维护。Public CA 提供对大量证书的访问权限,可让您以以前认为不切实际的方式使用和管理证书。
Public CA 的限制
此版本的 Public CA 不支持 Punycode 网域。