Puoi utilizzare la CA dell'autorità di certificazione pubblica eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlla i domini. Public CA consente di eseguire in modo diretto e programmatico richiedere certificati TLS pubblicamente attendibili che si trovano già nella radice degli archivi di attendibilità utilizzati da i principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per di autenticare e criptare il traffico internet.
Public CA consentono di gestire i casi d'uso di volumi elevati Le CA non sono state in grado di fornire assistenza. Se sei un cliente Google Cloud, puoi: richiedere certificati TLS per i tuoi domini direttamente dalla CA pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori umani o a supervisione, pertanto di automatizzare i cicli di vita dei certificati. Public CA utilizza Ambiente di gestione automatica dei certificati (ACME) per il provisioning, il rinnovo e la revoca automatici certificati. La gestione automatizzata dei certificati riduce i tempi di inattività scaduti possono causare e ridurre al minimo i costi operativi.
Public CA esegue il provisioning di certificati TLS per diversi account Google Cloud come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare Public CA
Puoi utilizzare la Public CA per i seguenti motivi:
- Se cerchi un provider TLS con un'elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi ottenere la maggior parte dei certificati TLS (se non tutti) per la tua infrastruttura, inclusi carichi di lavoro on-premise e configurazioni di provider cross-cloud, da un un unico cloud provider.
- Se hai bisogno di controllo e flessibilità per la gestione dei certificati TLS per personalizzarli in base ai requisiti della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare certificati gestiti nei servizi Google Cloud, come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare certificati attendibili pubblicamente solo quando la tua attività richiede non consentire un'altra opzione. Dati i costi storici e la complessità del mantenimento di un'area le gerarchie di infrastrutture chiave (PKI), molte aziende usano l'infrastruttura a chiave pubblica anche quando una gerarchia privata è più sensata.
Il mantenimento di gerarchie pubbliche e private è diventato molto più semplice grazie all'uso offerte di Google Cloud. Ti consigliamo di scegliere con attenzione il tipo di PKI corretto per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due facili da gestire di Google Cloud:
Anthos Service Mesh: Cloud Service Mesh include il provisioning dei certificati mTLS completamente automatizzato per i carichi di lavoro in esecuzione GKE Enterprise utilizzando l'autorità di certificazione Cloud Service Mesh (autorità di certificazione Cloud Service Mesh).
Certificate Authority Service: Certificate Authority Service consente di eseguire il deployment, gestire e proteggere in modo efficiente le CA private personalizzate senza dover gestire dell'infrastruttura.
Vantaggi delle CA pubbliche
La CA pubblica offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a un traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori nel sito web e causare interruzioni del servizio. Public CA evita problema della scadenza del certificato, consentendoti di configurare il server HTTPS ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro ACME endpoint.
Conformità: Public CA è sottoposta a regolari sessioni di test Audit dei controlli di sicurezza, privacy e conformità. I bollini Webtrust concessi in seguito a questi controlli annuali testimoniano la conformità della CA pubblica a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni della Public CA sono progettato per i più elevati standard di sicurezza ed eseguito regolarmente valutazioni indipendenti per confermare la sicurezza dei dell'infrastruttura. La Public CA soddisfa o supera tutti i i controlli, le pratiche operative e le misure di sicurezza menzionati White paper sulla sicurezza di Google
L'attenzione alla sicurezza delle CA pubbliche si estende a funzionalità come la convalida del dominio da più punti di vista. L'infrastruttura della Public CA distribuiti a livello globale. Pertanto, Public CA richiede di concordare punti di vista geograficamente diversificati, Protezione dalla compromissione del BGP (Border Gateway Protocol) e dirottamento del DNS (Domain Name Server).
Affidabilità: l'utilizzo dell'infrastruttura tecnica comprovata di Google rende la CA pubblica un servizio altamente disponibile e scalabile.
Ubiquity: la forte ubiquità nei browser per la fiducia in Google Services garantisce che i servizi che utilizzano il maggior numero possibile di certificati emessi dalla Public CA gamma di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per le configurazioni ibride: la Public CA consentono crei una soluzione di certificato TLS personalizzata che utilizza la stessa CA diversi scenari e casi d'uso. La CA pubblica soddisfa efficacemente i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente di provider cloud diversi.
Scalabilità: i certificati sono spesso stati costosi da ottenere e difficili da il provisioning e la manutenzione. Offrendo l'accesso a grandi volumi di certificati, La Public CA consente di utilizzare e gestire i certificati in modi in precedenza erano considerati impraticabili.
Limitazioni della Public CA
Questa release della Public CA non supporta i domini punycode.