在验证证书请求者是否控制网域后,您可以使用公共证书授权机构 CA 来预配和部署广受信赖的 X.509 证书。借助 Public CA,您可以直接以编程方式请求受大众信任的 TLS 证书,这些证书已存在于主要浏览器、操作系统和应用使用的信任库的根目录中。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。
通过 Public CA,您可以管理传统 CA 无法支持的大量用例。如果您是 Google Cloud 客户,则可以直接向公共 CA 为您的网域请求 TLS 证书。
大多数与证书相关的问题是由人为错误或监督造成的,因此我们建议自动执行证书生命周期。Public CA 使用自动证书管理环境 (ACME) 协议进行证书的自动配置、续订和撤消。自动证书管理可缩短过期证书可能造成的停机时间,并最大限度地减少运营成本。
Public CA 为多项 Google Cloud 服务(例如 App Engine、Cloud Shell、Google Kubernetes Engine 和 Cloud Load Balancing)预配 TLS 证书。
哪些人应使用 Public CA
您可以出于以下原因使用 Public CA:
- 如果您正在寻找普及性高、可伸缩性、安全性和可靠性高的 TLS 提供商。
- 如果您需要从单个云服务提供商处为基础架构(包括本地工作负载和跨云提供商设置)使用大部分(如果不是全部)TLS 证书。
- 如果您需要对 TLS 证书管理进行控制和灵活性,以根据基础架构要求对其进行自定义。
- 如果要自动执行 TLS 证书管理,但无法在 Google Cloud 服务(如 GKE 或 Cloud Load Balancing)中使用代管式证书。
我们建议您仅在业务要求不允许选择其他选项时,才使用受大众信任的证书。考虑到维护公钥基础架构 (PKI) 层次结构的成本和复杂性,许多企业即使在不公开层次结构更合理的情况下,也会使用公共 PKI 层次结构。
有了多种 Google Cloud 产品,维护公共和私有层次结构变得更加简单。我们建议您为自己的用例仔细选择正确的 PKI 类型。
对于非公开证书的要求,Google Cloud 提供了两种易于管理的解决方案:
Anthos Service Mesh:Cloud Service Mesh 包括使用 Cloud Service Mesh 证书授权机构(Cloud Service Mesh 证书授权机构)为 GKE Enterprise 中运行的工作负载提供完全自动化的 mTLS 证书预配。
Certificate Authority Service:借助 Certificate Authority Service,您可以高效地部署、管理和保护自定义私有 CA,而无需管理基础架构。
Public CA 的优势
Public CA 具有以下优势:
自动化:由于互联网浏览器的目标是完全加密流量并缩短证书有效期,因此有使用过期的 TLS 证书的风险。证书过期可能会导致网站错误,并可能导致服务中断。Public CA 可让您将 HTTPS 服务器设置为自动从我们的 ACME 端点获取和续订必要的 TLS 证书,从而避免出现证书过期问题。
合规性:Public CA 会定期接受安全性、隐私性和合规控制措施方面的严格独立审核。通过这些年度审核获得的 Webtrust 印章表明 Public CA 符合所有相关行业标准。
安全性:Public CA 的架构和操作均采用最高级别的安全标准设计,并定期运行独立评估以确认底层基础架构的安全性。Public CA 达到或超出 Google 安全白皮书中提及的所有控制措施、操作做法和安全措施。
Public CA 对安全性的关注扩展到了多角度网域验证等功能。Public CA 的基础架构遍布全球。因此,Public CA 要求在不同地理位置的角度之间达成高度一致,以防范边界网关协议 (BGP) 黑客攻击和域名服务器 (DNS) 黑客攻击。
可靠性:Google 成熟的技术基础架构的使用使 Public CA 成为高可用性且可伸缩的服务。
无处不在:Google Trust Services 具有强大的浏览器普及性,可确保使用 Public CA 颁发的证书的服务在尽可能广泛的设备和操作系统上运行。
适用于混合设置的简化 TLS 解决方案:通过 Public CA,您可以构建针对不同场景和使用场景使用相同的 CA 的自定义 TLS 证书解决方案。Public CA 可有效地处理工作负载在本地或跨云提供商环境中运行的用例。
规模:证书通常获取成本高昂,并且难以预配和维护。通过提供对大量证书的访问权限,Public CA 可让您以以前认为不切实际的方式使用和管理证书。
Public CA 的限制
此版本的 Public CA 不支持 Punycode 域名。