Mit der Zertifizierungsstelle können Sie weit vertrauenswürdige X.509-Zertifikate bereitstellen und bereitstellen, nachdem überprüft wurde, ob der Zertifikatsanforderer kontrolliert die Domains. Über eine öffentliche Zertifizierungsstelle können Sie öffentlich vertrauenswürdige TLS-Zertifikate direkt und programmatisch anfordern, die sich bereits im Stamm der Trust Stores befinden, die von gängigen Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate verwenden, um den Internetverkehr zu authentifizieren und zu verschlüsseln.
Mit öffentlichen Zertifizierungsstellen können Sie Anwendungsfälle mit hohem Volumen verwalten, die von herkömmlichen Zertifizierungsstellen nicht unterstützt werden können. Wenn Sie Google Cloud-Kunde sind, können Sie TLS-Zertifikate für Ihre Domains direkt bei Public CA anfordern.
Die meisten zertifikatsbezogenen Probleme sind auf menschliche Fehler oder Nachlässigkeit zurückzuführen. Wir empfehlen daher, den Zertifikatszyklus zu automatisieren. Public CA verwendet die Automatic Certificate Management Environment (ACME) für die automatische Bereitstellung, Verlängerung und Zertifikate. Die automatisierte Zertifikatsverwaltung reduziert die Ausfallzeiten, die durch abgelaufene Zertifikate verursacht werden können, und minimiert die Betriebskosten.
Öffentliche Zertifizierungsstellen stellen TLS-Zertifikate für mehrere Google Cloud-Dienste bereit, z. B. für die App Engine, Cloud Shell, die Google Kubernetes Engine und Cloud Load Balancing.
Für wen ist eine öffentliche Zertifizierungsstelle geeignet?
Sie können Public CA aus folgenden Gründen verwenden:
- Wenn Sie nach einem TLS-Anbieter mit hoher Allgegenwärtigkeit, Skalierbarkeit, Sicherheit und Zuverlässigkeit.
- Wenn Sie die meisten, wenn nicht sogar alle, TLS-Zertifikate für Ihre Infrastruktur benötigen, darunter lokale Arbeitslasten und cloudübergreifende Einrichtungen von Anbietern, einzelnen Cloud-Anbieter nutzen.
- Wenn Sie Kontrolle und Flexibilität über die TLS-Zertifikatsverwaltung benötigen, und passen es an Ihre Infrastrukturanforderungen an.
- Wenn Sie die TLS-Zertifikatsverwaltung automatisieren möchten, aber keine Verwaltete Zertifikate in Google Cloud-Diensten wie GKE oder Cloud Load Balancing.
Wir empfehlen Ihnen, nur dann öffentlich vertrauenswürdige Zertifikate zu verwenden, wenn Ihre geschäftlichen Anforderungen keine andere Option zulassen. Angesichts der bisherigen Kosten und der Komplexität der öffentlichen Verwaltung Schlüsselinfrastrukturhierarchien (PKI), viele Unternehmen verwenden öffentliche PKI selbst wenn eine private Hierarchie sinnvoller ist.
Die Verwaltung öffentlicher und privater Hierarchien ist viel einfacher geworden, Google Cloud-Angebote Wir empfehlen Ihnen, die richtige Art von PKI für Ihren Anwendungsfall.
Für nicht öffentliche Zertifikatsanforderungen bietet Google Cloud zwei einfach zu verwaltende Lösungen:
Anthos Service Mesh: Cloud Service Mesh bietet eine vollständig automatisierte Bereitstellung von mTLS-Zertifikaten für Arbeitslasten, die in GKE Enterprise ausgeführt werden, mithilfe der Cloud Service Mesh-Zertifizierungsstelle (Cloud Service Mesh Certificate Authority).
Certificate Authority Service: Mit Certificate Authority Service können Sie benutzerdefinierte private Zertifizierungsstellen effizient verwalten und schützen, ohne und Infrastruktur.
Vorteile öffentlicher Zertifizierungsstellen
Eine öffentliche Zertifizierungsstelle bietet folgende Vorteile:
Automatisierung: Da Browser auf vollständig verschlüsselten Datenverkehr und die Verkürzung der Gültigkeit von Zertifikaten, besteht das Risiko, dass abgelaufene TLS-Zertifikate. Der Ablauf eines Zertifikats kann zu Websitefehlern führen, und zu Dienstausfällen führen. Mit einer öffentlichen Zertifizierungsstelle können Sie das Problem des Zertifikatsablaufs vermeiden, indem Sie Ihren HTTPS-Server so einrichten, dass die erforderlichen TLS-Zertifikate automatisch von unserem ACME-Endpunkt abgerufen und verlängert werden.
Compliance: Öffentliche Zertifizierungsstellen werden regelmäßig von unabhängigen Stellen auf ihre Sicherheits-, Datenschutz- und Compliance-Kontrollen geprüft. Die Webtrust-Gütesiegel, die im Rahmen dieser jährlichen Audits vergeben werden, belegen die Einhaltung aller relevanten Branchenstandards durch die Public CA.
Sicherheit: Die Architektur und der Betrieb von Public CA sind nach den höchsten Sicherheitsstandards konzipiert. Es werden regelmäßig unabhängige Bewertungen durchgeführt, um die Sicherheit der zugrunde liegenden Infrastruktur zu bestätigen. Der öffentliche Zertifizierungsstellen erfüllt alle im Whitepaper zur Sicherheit bei Google genannten Kontrollen, Betriebspraktiken und Sicherheitsmaßnahmen oder übertrifft sie.
Der Fokus der Public CA auf Sicherheit erstreckt sich auch auf Funktionen wie multiperspektiven Domainvalidierung. Die Infrastruktur der öffentlichen Zertifizierungsstelle ist global verteilt. Daher ist für öffentliche Zertifizierungsstellen ein hoher Grad an Übereinstimmung zwischen geografisch unterschiedlichen Perspektiven erforderlich, um vor BGP-Hijacking (Border Gateway Protocol) und DNS-Hijacking (Domain Name Server) zu schützen.
Zuverlässigkeit: Die Verwendung der bewährten technischen Infrastruktur von Google sorgt für Public CA ist ein hochverfügbarer und skalierbarer Dienst.
Allgegenwärtigkeit: Die starke Browser-Allgegenwärtigkeit der Google Trust Services trägt dazu bei, dass Dienste, die Zertifikate von öffentlichen Zertifizierungsstellen verwenden, auf möglichst vielen Geräten und Betriebssystemen funktionieren.
Optimierte TLS-Lösungen für hybride Einrichtungen: Public CA ermöglicht Sie erstellen eine benutzerdefinierte TLS-Zertifikatslösung, die dieselbe Zertifizierungsstelle für verschiedenen Szenarien und Anwendungsfällen. Public CA liefert effektive Anwendungsfälle, in denen Arbeitslasten lokal oder cloudübergreifend ausgeführt werden des Anbieters.
Umfang: Die Beschaffung von Zertifikaten war oft teuer und schwer zu beschaffen. Bereitstellung und Wartung. Durch den Zugriff auf große Mengen von Zertifikaten Public CA können Sie Zertifikate so verwenden und verwalten, die zuvor als unpraktisch eingestuft wurden.
Einschränkungen Public CA
Diese Version der Public CA unterstützt keine Punycode-Domains.