您可以使用公共证书授权机构 CA 预配和部署广受信任的 X.509 证书 网域。通过 Public CA,您可以直接以编程方式 请求已在 主流浏览器、操作系统和应用程序。您可以使用这些 TLS 证书 对互联网流量进行身份验证和加密
通过 Public CA,您可以管理 CA 无法提供支持。如果您是 Google Cloud 客户, 直接从公共 CA 为您的网域请求 TLS 证书。
大多数与证书相关的问题是由人为错误或监督造成的,因此我们 建议自动执行证书生命周期Public CA 使用 自动证书管理环境 (ACME) 自动配置、续订和撤消 证书。自动证书管理可减少已过期的停机时间 可以产生并最大限度地降低运营成本。
Public CA 为多个 Google Cloud 预配 TLS 证书 (例如 App Engine、Cloud Shell) Google Kubernetes Engine 和 Cloud Load Balancing。
哪些人应使用 Public CA
您可以出于以下原因使用 Public CA:
- 如果您正在寻找普及性高、可伸缩性的 TLS 提供商 安全性和可靠性
- 如果您想要为基础架构使用大部分(如果不是全部)TLS 证书, 包括本地工作负载和跨云提供商设置 一个云服务提供商
- 如果您需要对 TLS 证书管理进行控制和灵活性, 您可以根据基础设施要求对其进行自定义
- 如果您想自动执行 TLS 证书管理,但无法使用 Google Cloud 服务(例如 GKE)中的代管式证书 或 Cloud Load Balancing。
我们建议您仅在有业务需要时才使用受大众信任的证书 不允许使用其他选项。考虑到维护公共安全方面的历史成本和复杂性 密钥基础设施 (PKI) 层次结构,许多企业使用公共 PKI 也不必考虑使用私有层次结构。
通过使用多 API 等工具,维护公开和私有层次结构 Google Cloud 产品。我们建议您仔细选择 适用于您的用例的公钥基础设施 (PKI)。
对于非公开证书要求,Google Cloud 提供了两种易于管理的 解决方案:
Anthos Service Mesh:Cloud Service Mesh 包括 为在以下环境中运行的工作负载提供完全自动化的 mTLS 证书配置: GKE Enterprise,使用 Cloud Service Mesh 证书授权机构(Cloud Service Mesh 证书授权机构)。
Certificate Authority Service: 借助Certificate Authority Service,您可以部署、 高效管理和保护自定义私有 CA,而无需管理 基础架构
Public CA 的优势
Public CA 具有以下优势:
自动化:由于互联网浏览器的目标是处理完全加密的流量和 缩短证书有效期,则使用 TLS 证书已过期。证书过期可能会导致网站错误 并可能导致服务中断Public CA 可以避免 通过设置 HTTPS 服务器 自动从我们的 ACME 获取和续订必要的 TLS 证书 端点。
法规遵从:Public CA 需要定期接受严格的独立 安全、隐私与合规控制措施的审核。Webtrust 网站 因这些年度审计而颁发的印章 证明 Public CA 符合所有相关的 业界标准。
安全性:Public CA 的架构和操作 按照最高级别的安全标准设计,并定期运行 以确保底层基础架构的安全, 基础架构Public CA 达到或超过所有 中提到的 Google 安全白皮书。
Public CA 对安全性的关注延伸到了以下功能: 多角度域验证。Public CA 的基础设施 分布在世界各地因此,Public CA 对 对不同地理位置的观点达成共识,这使得我们 防范边界网关协议 (BGP) 黑客攻击 和域名服务器 (DNS) 黑客攻击。
可靠性:得益于 Google 久经考验的技术基础架构, Public CA 是一项高可用性且可伸缩的服务。
无处不在:Google Trust 的强大浏览器无处不在 服务可确保使用 尽可能使用 Public CA 颁发的证书 各种设备和操作系统
针对混合设置的简化 TLS 解决方案:Public CA 可以 您需要构建一个自定义 TLS 证书解决方案,为 不同的场景和用例。Public CA 有效提供服务 工作负载在本地或跨云环境中运行的使用场景 提供程序环境。
规模:证书通常成本高昂且难以获取 预配和维护通过提供对大量证书的访问权限, Public CA 可让您通过多种方式利用和管理证书, 之前被认为不切实际。
Public CA 的限制
此版本的 Public CA 不支持 Punycode 域名。