在验证证书请求者是否控制相应网域后,您可以使用公共证书授权机构 (CA) 预配和部署广泛受信任的 X.509 证书。借助公共 CA,您可以以编程方式直接请求已位于主要浏览器、操作系统和应用使用的受信任证书存储区根目录中的公共可信 TLS 证书。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。
通过 Public CA,您可以管理 CA 无法提供支持。如果您是 Google Cloud 客户, 直接从公共 CA 为您的网域请求 TLS 证书。
大多数与证书相关的问题都是由人为错误或疏忽造成的,因此我们建议您自动化证书生命周期。Public CA 使用 自动证书管理环境 (ACME) 自动配置、续订和撤消 证书。自动证书管理可减少已过期的停机时间 可以产生并最大限度地降低运营成本。
Public CA 为多个 Google Cloud 预配 TLS 证书 (例如 App Engine、Cloud Shell) Google Kubernetes Engine 和 Cloud Load Balancing。
哪些人应使用公共 CA
您可以出于以下原因使用 Public CA:
- 如果您正在寻找具有广泛普及性、可扩缩性、安全性和可靠性的 TLS 提供商。
- 如果您希望从单个云服务提供商处获取基础架构(包括本地工作负载和跨云服务提供商设置)的大多数(如果不是全部)TLS 证书。
- 如果您需要对 TLS 证书管理进行控制和灵活性, 您可以根据基础设施要求对其进行自定义
- 如果您想自动执行 TLS 证书管理,但无法使用 Google Cloud 服务(例如 GKE)中的代管式证书 或 Cloud Load Balancing。
我们建议您仅在有业务需要时才使用受大众信任的证书 不允许使用其他选项。考虑到维护公共安全方面的历史成本和复杂性 密钥基础设施 (PKI) 层次结构,许多企业使用公共 PKI 也不必考虑使用私有层次结构。
通过多个集成式 API, Google Cloud 产品。我们建议您根据自己的用例仔细选择合适的 PKI 类型。
对于非公开证书要求,Google Cloud 提供了两种易于管理的解决方案:
Anthos Service Mesh:Cloud Service Mesh 包括 为在以下环境中运行的工作负载提供完全自动化的 mTLS 证书配置: GKE Enterprise,使用 Cloud Service Mesh 证书授权机构(Cloud Service Mesh 证书授权机构)。
Certificate Authority Service:借助 Certificate Authority Service,您可以高效地部署、管理和保护自定义私有 CA,而无需管理基础架构。
公共 CA 的优势
使用公共 CA 具有以下优势:
自动化:由于互联网浏览器的目标是实现完全加密的流量并缩短证书有效期,因此使用已过期的 TLS 证书存在风险。证书过期可能会导致网站出现错误,并可能导致服务中断。公共 CA 可让您设置 HTTPS 服务器,以便自动从我们的 ACME 端点获取和续订必要的 TLS 证书,从而避免证书过期问题。
合规性:公共 CA 会定期接受严格的独立审核,以确保其安全性、隐私保护和合规控制措施符合相关要求。通过这些年度审核获得的 Webtrust 徽章证明了 Public CA 符合所有相关行业标准。
安全性:公共 CA 的架构和运维符合最高级别的安全标准,并定期运行独立评估,以确认底层基础架构的安全性。Public CA 达到或超过所有 中提到的 Google 安全白皮书。
Public CA 对安全性的关注延伸到了以下功能: 多角度域验证。Public CA 的基础设施 分布在世界各地因此,Public CA 对 对不同地理位置的观点达成共识,这使得我们 防范边界网关协议 (BGP) 黑客攻击 和域名服务器 (DNS) 黑客攻击。
可靠性:得益于 Google 久经考验的技术基础架构, Public CA 是一项高可用性、可伸缩的服务。
无处不在:Google Trust 的强大浏览器无处不在 服务有助于确保使用 尽可能使用 Public CA 颁发的证书 各种设备和操作系统
针对混合设置的简化 TLS 解决方案:借助公共 CA,您可以构建自定义 TLS 证书解决方案,在各种场景和用例中使用相同的 CA。Public CA 有效提供服务 工作负载在本地或跨云环境中运行的使用场景 提供程序环境。
规模:证书的获取成本通常很高,而且难以预配和维护。通过提供对大量证书的访问权限, Public CA 可让您通过多种方式利用和管理证书, 之前被认为不切实际。
Public CA 的限制
此版本的 Public CA 不支持 Punycode 域名。