証明書リクエスト元がドメインを制御していることを確認したら、Public Certificate Authority CA を使用して、広く信頼されている X.509 証明書をプロビジョニングしてデプロイできます。Public CA を使用すると、主要なブラウザ、オペレーティング システム、アプリケーションで使用されるトラストストアのルートにすでに存在している TLS 証明書を、直接およびプログラムでリクエストできます。これらの TLS 証明書を使用して、インターネット トラフィックを認証し、暗号化できます。
Public CA を使用すると、従来の CA ではサポートできなかった大量のユースケースを管理できます。Google Cloud のお客様は、Public CA から直接ドメインの TLS 証明書をリクエストできます。
証明書関連の問題のほとんどは、人的エラーや監視が原因であるため、証明書のライフサイクルを自動化することをおすすめします。Public CA は、証明書の自動プロビジョニング、更新、取り消しに自動証明書管理環境(ACME)プロトコルを使用します。自動証明書管理によって、期限切れの証明書によって生じるダウンタイムが短縮され、運用コストを最小限に抑えることができます。
Public CA は、App Engine、Cloud Shell、Google Kubernetes Engine、Cloud Load Balancing など、いくつかの Google Cloud サービスに TLS 証明書をプロビジョニングします。
Public CA の対象ユーザー
Public CA は、次の理由のために使用できます。
- 遍在性、拡張性、セキュリティ、信頼性に優れた TLS プロバイダをお探しの場合。
- オンプレミス ワークロードやクロスクラウド プロバイダの設定など、1 つのクラウド プロバイダからインフラストラクチャに必要な TLS 証明書が必要な場合。
- TLS 証明書の管理をインフラストラクチャ要件に合わせてカスタマイズするために、制御と柔軟性が必要な場合。
- TLS 証明書の管理を自動化するものの、GKE や Cloud Load Balancing などの Google Cloud サービスでマネージド証明書を使用できない場合。
ビジネス要件により他のオプションが許可されていない場合にのみ、公的に信頼できる証明書を使用することをおすすめします。公開鍵基盤(PKI)階層の維持にかかった過去のコストと複雑さを考えると、多くの企業は、プライベート階層のほうが適切な場合でも、パブリック PKI 階層を使用します。
複数の Google Cloud プロダクトにより、パブリック階層とプライベート階層の維持が大幅に簡素化されます。ユースケースに適したタイプの PKI を慎重に選択することをおすすめします。
非公開証明書の要件に応じて、Google Cloud では管理しやすい 2 つのソリューションが用意されています。
Anthos Service Mesh: Anthos Service Mesh には、Anthos Service Mesh 認証局(Mesh CA)を使用して GKE Enterprise で実行されているワークロード用に完全に自動化された mTLS 証明書プロビジョニングが含まれます。
Certificate Authority Service: Certificate Authority Service を使用して、インフラストラクチャを管理することなく、カスタムプライベート CA を効率的にデプロイ、管理、保護できます。
Public CA の利点
Public CA には、次の利点があります。
自動化: インターネット ブラウザはトラフィックを完全に暗号化し、証明書の有効期間を短縮するため、期限切れの TLS 証明書を使用するリスクがあります。証明書の有効期限はウェブサイトのエラーにつながり、サービスが停止する可能性があります。Public CA は、HTTPS サーバーを設定して ACME エンドポイントから必要な TLS 証明書を自動的に取得して更新できるようにすることで、証明書の有効期限の問題を回避します。
コンプライアンス: Public CA は、セキュリティ、プライバシー、コンプライアンス管理に関する独立した機関による厳格な監査を定期的に受けています。これらの年次監査の結果として付与された Webtrust シールは、Public CA が、関連するすべての業界標準に準拠していることを示しています。
セキュリティ: Public CA のアーキテクチャとオペレーションは、最高レベルのセキュリティ基準を維持して設計され、独立した評価を定期的に実施して、基盤となるインフラストラクチャのセキュリティを確認します。Public CA は、Google のセキュリティに関するホワイトペーパーに記載されている管理、運用、セキュリティ対策をすべて満たすか上回っています。
Public CA のセキュリティの焦点は、複数視点のドメイン検証などの機能に拡張されています。Public CA のインフラストラクチャはグローバルに分散しています。そのため、Public CA は、地理的に多様な視点から高度な合意を必要とします。これにより、Border Gateway Protocol(BGP)ハイジャック攻撃とドメイン ネームサーバー(DNS)ハイジャック攻撃から保護できます。
信頼性: Google の実績ある技術インフラストラクチャの使用により、Public CA は可用性が高くスケーラブルなサービスとなっています。
遍在性: Google Trust Services の強力なブラウザ遍在性により、Public CA が発行する証明書を使用するサービスは、可能な限り幅広いデバイスやオペレーティング システムで動作します。
ハイブリッド設定のための合理化された TLS ソリューション: Public CA を使用すると、さまざまなシナリオとユースケースに同じ CA を使用するカスタム TLS 証明書ソリューションを構築できます。Public CA は、ワークロードがオンプレミスまたはクロスクラウド プロバイダ環境で実行されているユースケースを効果的に提供します。
スケーリング: 証明書の取得にコストがかかり、プロビジョニングと維持が困難であることがよくあります。大量の証明書へのアクセスを提供することで、Public CA では、以前は現実的ではないと考えられていた方法で証明書を利用および管理できます。
Public CA の制限事項
このリリースの Public CA は、Punycode ドメインをサポートしていません。