Sie können die Public Certificate Authority (CA) verwenden, um allgemein vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem Sie bestätigt haben, dass der Antragsteller des Zertifikats die Domains verwaltet. Über eine öffentliche Zertifizierungsstelle können Sie öffentlich vertrauenswürdige TLS-Zertifikate direkt und programmatisch anfordern, die sich bereits im Stamm der Trust Stores befinden, die von gängigen Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate verwenden, um den Internetverkehr zu authentifizieren und zu verschlüsseln.
Mit öffentlichen Zertifizierungsstellen können Sie Anwendungsfälle mit hohem Volumen verwalten, die von herkömmlichen Zertifizierungsstellen nicht unterstützt werden können. Wenn Sie ein Google Cloud Google Workspace-Kunde sind, können Sie TLS-Zertifikate für Ihre Domains direkt bei der Public CA anfordern.
Die meisten zertifikatsbezogenen Probleme sind auf menschliche Fehler oder Nachlässigkeit zurückzuführen. Wir empfehlen daher, den Zertifikatszyklus zu automatisieren. Die öffentliche Zertifizierungsstelle verwendet das ACME-Protokoll (Automatic Certificate Management Environment) für die automatische Bereitstellung, Verlängerung und den Widerruf von Zertifikaten. Die automatisierte Zertifikatsverwaltung reduziert die Ausfallzeiten, die durch abgelaufene Zertifikate verursacht werden können, und minimiert die Betriebskosten.
Die öffentliche Zertifizierungsstelle stellt TLS-Zertifikate für mehrere Google Cloud Dienste bereit, z. B. für die App Engine, Cloud Shell, Google Kubernetes Engine und Cloud Load Balancing.
Für wen ist die öffentliche Zertifizierungsstelle geeignet?
Sie können öffentliche Zertifizierungsstellen aus folgenden Gründen verwenden:
- Sie suchen einen TLS-Anbieter mit hoher Verbreitung, Skalierbarkeit, Sicherheit und Zuverlässigkeit.
- Wenn Sie die meisten, wenn nicht alle TLS-Zertifikate für Ihre Infrastruktur, einschließlich lokal ausgeführter Arbeitslasten und Cloud-übergreifender Konfigurationen, von einem einzigen Cloud-Anbieter beziehen möchten.
- Wenn Sie die TLS-Zertifikatsverwaltung steuern und flexibel anpassen möchten, um sie an Ihre Infrastrukturanforderungen anzupassen.
- Wenn Sie die TLS-Zertifikatsverwaltung automatisieren möchten, aber keine verwalteten Zertifikate in Google Cloud Diensten wie GKE oder Cloud Load Balancing verwenden können.
Wir empfehlen, öffentlich vertrauenswürdige Zertifikate nur zu verwenden, wenn Ihre Geschäftsanforderungen keine andere Option zulassen. Aufgrund der bisherigen Kosten und Komplexität der Verwaltung von Public-Key-Infrastrukturhierarchien (PKI) verwenden viele Unternehmen öffentliche PKI-Hierarchien, auch wenn eine private Hierarchie sinnvoller wäre.
Die Verwaltung öffentlicher und privater Hierarchien ist mit mehrerenGoogle Cloud Angeboten viel einfacher geworden. Wir empfehlen Ihnen, die richtige PKI-Art für Ihren Anwendungsfall sorgfältig auszuwählen.
Für Anforderungen an nicht öffentliche Zertifikate bietet Google Cloud zwei nutzerfreundliche Lösungen:
Anthos Service Mesh: Cloud Service Mesh bietet eine vollständig automatisierte Bereitstellung von mTLS-Zertifikaten für Arbeitslasten, die in GKE Enterprise ausgeführt werden, mithilfe der Anthos Service Mesh-Zertifizierungsstelle (Anthos Service Mesh Certificate Authority).
Certificate Authority Service: Mit dem Certificate Authority Service können Sie benutzerdefinierte private Zertifizierungsstellen effizient bereitstellen, verwalten und sichern, ohne die Infrastruktur verwalten zu müssen.
Vorteile öffentlicher Zertifizierungsstellen
Eine öffentliche Zertifizierungsstelle bietet folgende Vorteile:
Automatisierung: Da Internetbrowser auf vollständig verschlüsselten Traffic und eine Verkürzung der Gültigkeitsdauer von Zertifikaten abzielen, besteht das Risiko, abgelaufene TLS-Zertifikate zu verwenden. Das Ablaufen von Zertifikaten kann zu Websitefehlern und Dienstausfällen führen. Mit einer öffentlichen Zertifizierungsstelle können Sie das Problem des Zertifikatsablaufs vermeiden, indem Sie Ihren HTTPS-Server so einrichten, dass die erforderlichen TLS-Zertifikate automatisch von unserem ACME-Endpunkt abgerufen und verlängert werden.
Compliance: Öffentliche Zertifizierungsstellen werden regelmäßig von unabhängigen Stellen auf ihre Sicherheits-, Datenschutz- und Compliance-Kontrollen geprüft. Die Webtrust-Siegel, die im Rahmen dieser jährlichen Audits vergeben werden, belegen die Einhaltung aller relevanten Branchenstandards durch die Public CA.
Sicherheit: Die Architektur und der Betrieb von Public CA entsprechen den höchsten Sicherheitsstandards. Außerdem werden regelmäßig unabhängige Bewertungen durchgeführt, um die Sicherheit der zugrunde liegenden Infrastruktur zu bestätigen. Der öffentliche Zertifizierungsstellen erfüllt alle im Whitepaper zur Sicherheit bei Google genannten Kontrollen, Betriebspraktiken und Sicherheitsmaßnahmen oder übertrifft sie.
Der Schwerpunkt der öffentlichen Zertifizierungsstelle liegt auf der Sicherheit und erstreckt sich auf Funktionen wie die mehrdimensionale Domainbestätigung. Die Infrastruktur der öffentlichen Zertifizierungsstelle ist global verteilt. Daher ist für öffentliche Zertifizierungsstellen ein hoher Grad an Übereinstimmung zwischen geografisch unterschiedlichen Perspektiven erforderlich, um vor BGP-Hijacking (Border Gateway Protocol) und DNS-Hijacking (Domain Name Server) zu schützen.
Zuverlässigkeit: Die bewährte technische Infrastruktur von Google macht Public CA zu einem hochverfügbaren und skalierbaren Dienst.
Allgegenwärtigkeit: Die starke Browser-Allgegenwärtigkeit der Google Trust Services trägt dazu bei, dass Dienste, die Zertifikate von öffentlichen Zertifizierungsstellen verwenden, auf möglichst vielen Geräten und Betriebssystemen funktionieren.
Optimierte TLS-Lösungen für hybride Umgebungen: Mit einer öffentlichen Zertifizierungsstelle können Sie eine benutzerdefinierte TLS-Zertifikatlösung erstellen, bei der dieselbe Zertifizierungsstelle für verschiedene Szenarien und Anwendungsfälle verwendet wird. Öffentliche Zertifizierungsstellen eignen sich gut für Anwendungsfälle, bei denen Arbeitslasten lokal oder in einer Cloud-Umgebung mit mehreren Anbietern ausgeführt werden.
Skalierung: Zertifikate waren oft teuer und schwierig zu beschaffen, bereitzustellen und zu verwalten. Da öffentliche Zertifizierungsstellen Zugriff auf eine große Anzahl von Zertifikaten bieten, können Sie Zertifikate auf eine Weise verwenden und verwalten, die bisher als unpraktisch galt.
Einschränkungen öffentlicher Zertifizierungsstellen
Diese Version der Public CA unterstützt keine Punycode-Domains.