Sie können die Zertifizierungsstelle der öffentlichen Zertifizierungsstelle verwenden, um vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem Sie überprüft haben, ob der Antragsteller die Domains kontrolliert. Mit „Public CA“ können Sie direkt und programmatisch öffentlich vertrauenswürdige TLS-Zertifikate anfordern, die sich bereits im Root of Trust Store befinden, das von großen Browsern, Betriebssystemen und Anwendungen verwendet wird. Mit diesen TLS-Zertifikaten können Sie den Internettraffic authentifizieren und verschlüsseln.
Public CA können Sie Anwendungsfälle mit hohem Volumen verwalten, die herkömmliche Zertifizierungsstellen nicht unterstützen konnten. Wenn Sie Google Cloud-Kunde sind, können Sie TLS-Zertifikate für Ihre Domains direkt von der öffentlichen Zertifizierungsstelle anfordern.
Die meisten Probleme im Zusammenhang mit Zertifikaten sind auf menschliche Fehler oder Kontrollen zurückzuführen. Daher empfehlen wir, den Lebenszyklus von Zertifikaten zu automatisieren. Public CA verwendet das Protokoll Automatic Certificate Management Environment (ACME) zur automatischen Bereitstellung, Verlängerung und Widerrufung von Zertifikaten. Die automatisierte Zertifikatverwaltung reduziert Ausfallzeiten, die durch abgelaufene Zertifikate entstehen können, und minimiert die Betriebskosten.
Public CA stellt TLS-Zertifikate für mehrere Google Cloud-Dienste bereit, z. B. App Engine, Cloud Shell, Google Kubernetes Engine und Cloud Load Balancing.
Wer sollte Public CA verwenden?
Sie können eine Public CA aus folgenden Gründen verwenden:
- Wenn Sie nach einem TLS-Anbieter suchen, der allgegenwärtig, skalierbar, sicher und zuverlässig ist.
- Falls Sie die meisten, wenn nicht alle TLS-Zertifikate für Ihre Infrastruktur, einschließlich lokaler Arbeitslasten und cloudübergreifender Einrichtungen von einem einzelnen Cloud-Anbieter, benötigen.
- Wenn Sie Kontrolle und Flexibilität für die TLS-Zertifikatverwaltung benötigen, um sie an Ihre Infrastrukturanforderungen anzupassen.
- Wenn Sie die TLS-Zertifikatverwaltung automatisieren möchten, aber keine verwalteten Zertifikate in Google Cloud-Diensten wie GKE oder Cloud Load Balancing verwenden können.
Wir empfehlen, öffentlich vertrauenswürdige Zertifikate nur dann zu verwenden, wenn Ihre Geschäftsanforderungen keine andere Option zulassen. Angesichts der bisherigen Kosten und der Komplexität der Verwaltung von PKI-Hierarchien (Public-Key-Infrastruktur) verwenden viele Unternehmen öffentliche PKI-Hierarchien, auch wenn eine private Hierarchie sinnvoller ist.
Mit mehreren Google Cloud-Angeboten ist die Verwaltung öffentlicher und privater Hierarchien viel einfacher geworden. Wir empfehlen Ihnen, sorgfältig den richtigen PKI-Typ für Ihren Anwendungsfall auszuwählen.
Für nicht öffentliche Zertifikatsanforderungen bietet Google Cloud zwei einfach zu verwaltende Lösungen:
Anthos Service Mesh: Anthos Service Mesh umfasst die vollständig automatisierte Bereitstellung von mTLS-Zertifikaten für Arbeitslasten, die in GKE Enterprise mit der Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) ausgeführt werden.
Certificate Authority Service: Mit Certificate Authority Service können Sie benutzerdefinierte private Zertifizierungsstellen effizient bereitstellen, verwalten und schützen, ohne die Infrastruktur verwalten zu müssen.
Vorteile von Public CA
Public CA bietet folgende Vorteile:
Automatisierung: Da Webbrowser auf vollständig verschlüsselten Traffic und eine Verkürzung der Gültigkeitsdauer von Zertifikaten streben, besteht das Risiko, dass abgelaufene TLS-Zertifikate verwendet werden. Der Ablauf von Zertifikaten kann zu Websitefehlern und Dienstausfällen führen. Eine Public CA verhindert das Problem des Ablaufs von Zertifikaten, da Sie Ihren HTTPS-Server so einrichten können, dass die erforderlichen TLS-Zertifikate automatisch von unserem ACME-Endpunkt abgerufen und verlängert werden.
Compliance: Public CA wird regelmäßig strengen unabhängigen Prüfungen der Sicherheits-, Datenschutz- und Compliancekontrollen unterzogen. Die im Rahmen dieser jährlichen Audits gewährten Webtrust-Siegel weisen die Konformität von Public CA mit allen relevanten Branchenstandards nach.
Sicherheit: Die Architektur und der Betrieb von Public CA wurden nach den höchsten Sicherheitsstandards entwickelt und führen regelmäßig unabhängige Bewertungen durch, um die Sicherheit der zugrunde liegenden Infrastruktur zu bestätigen. Public CA erfüllt oder übertrifft alle im Whitepaper zur Google-Sicherheit aufgeführten Kontrollen, Betriebspraktiken und Sicherheitsmaßnahmen.
Der Fokus von Public CA auf Sicherheit erstreckt sich auch auf Funktionen wie die Domainvalidierung in mehreren Perspektiven. Die Infrastruktur von Public CA ist global verteilt. Daher erfordert Public CA ein hohes Maß an Zustimmung in geografisch unterschiedlichen Perspektiven, um Schutz vor Border Gateway Protocol (BGP)- und DNS-Hacking-Angriffen (Domain Name Server) zu bieten.
Zuverlässigkeit: Die Nutzung der bewährten technischen Infrastruktur von Google macht Public CA zu einem hochverfügbaren und skalierbaren Dienst.
Ubiquity:Aufgrund der allgegenwärtigen Browservielfalt von Google Trust Services funktionieren Dienste, die von Public CA ausgestellte Zertifikate verwenden, auf möglichst vielen Geräten und Betriebssystemen.
Optimierte TLS-Lösungen für hybride Einrichtungen: Mit Public CA können Sie eine benutzerdefinierte TLS-Zertifikatslösung erstellen, die dieselbe Zertifizierungsstelle für verschiedene Szenarien und Anwendungsfälle verwendet. Public CA ist für Anwendungsfälle geeignet, bei denen Arbeitslasten lokal oder in einer cloudübergreifenden Umgebung eines Anbieters ausgeführt werden.
Skala: Zertifikate waren oft teuer in der Beschaffung und schwer zu bereitzustellen und zu pflegen. Mit Public CA können Sie Zertifikate auf eine Weise verwenden und verwalten, die zuvor als nicht praktikabel erachtet wurde.
Einschränkungen der Public CA
Diese Version von Public CA unterstützt keine Punycode-Domains.