Puoi utilizzare l'autorità di certificazione pubblica per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Public CA ti consentono di richiedere in modo diretto e programmatico certificati TLS considerati attendibili pubblicamente che si trovano già nella radice degli archivi attendibili utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
La Public CA ti consente di gestire casi d'uso ad alto volume che le CA tradizionali non sono state in grado di supportare. Se sei un Google Cloud cliente, puoi richiedere i certificati TLS per i tuoi domini direttamente dall'autorità di certificazione pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori o negligenze umane, pertanto consigliamo di automatizzare i cicli di vita dei certificati. LPublic CA utilizza il protocollo Automatic Certificate Management Environment (ACME) per il provisioning, il rinnovo e la revoca automatici dei certificati. La gestione automatica dei certificati riduce i tempi di riposo causati dai certificati scaduti e riduce al minimo i costi operativi.
La Public CA fornisce certificati TLS per diversi Google Cloud servizi, come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare la Public CA
Puoi utilizzare la Public CA per i seguenti motivi:
- Se stai cercando un fornitore TLS con elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi la maggior parte, se non tutti, i certificati TLS per la tua infrastruttura, inclusi i carichi di lavoro on-premise e le configurazioni di più cloud provider, da un singolo cloud provider.
- Se hai bisogno di controllo e flessibilità per la gestione dei certificati TLS per personalizzarli in base alle esigenze della tua infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare i certificati gestiti in Google Cloud servizi come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare i certificati attendibili pubblicamente solo quando i requisiti della tua attività non consentono un'altra opzione. Dati i costi e la complessità storici della gestione delle gerarchie PKI (Public Key Infrastructure), molte aziende utilizzano gerarchie PKI pubbliche anche quando sarebbe più opportuno utilizzare una gerarchia privata.
La gestione delle gerarchie pubbliche e private è diventata molto più semplice con più offerteGoogle Cloud . Ti consigliamo di scegliere con attenzione il tipo di PKI corretto per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Cloud Service Mesh include il provisioning completamente automatizzato dei certificati mTLS per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando la CA Cloud Service Mesh.
Certificate Authority Service: Certificate Authority Service ti consente di eseguire il deployment, gestire e proteggere CA private personalizzate in modo efficiente senza gestire l'infrastruttura.
Vantaggi della Public CA
La Public CA offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a un traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza del certificato può causare errori sul sito web e interruzioni del servizio. LPublic CA evita il problema della scadenza dei certificati consentendoti di configurare il server HTTPS in modo da ottenere e rinnovare automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: la Public CA vengono sottoposte regolarmente a rigorosi controlli indipendenti dei controlli di sicurezza, privacy e conformità. I bollini Webtrust concessi in seguito a questi controlli annuali dimostrano la conformità della Public CA a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni della Public CA sono progettate per il massimo livello di standard di sicurezza ed eseguono regolarmente valutazioni indipendenti per confermare la sicurezza dell'infrastruttura di base. La Public CA soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza indicate nel white paper sulla sicurezza di Google.
L'attenzione alla sicurezza della Public CA si estende a funzionalità come la convalida del dominio da più punti di vista. L'infrastruttura della Public CA è distribuita su scala globale. Pertanto, la Public CA richiedono un elevato grado di accordo tra punti di vista geograficamente diversi, che fornisce protezione contro gli attacchi di compromissione del Border Gateway Protocol (BGP) e di compromissione del server dei nomi di dominio (DNS).
Affidabilità: l'utilizzo dell'infrastruttura tecnica comprovata di Google rende la Public CA un servizio altamente disponibile e scalabile.
Ubiquità:la forte ubiquità nei browser di Google Trust Services contribuisce a garantire che i servizi che utilizzano i certificati emessi dalla Public CA funzionino sulla gamma più ampia possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per configurazioni ibride: Public CA consente di creare una soluzione di certificati TLS personalizzata che utilizza la stessa CA per diversi scenari e casi d'uso. La Public CA soddisfa efficacemente i casi d'uso in cui i carichi di lavoro vengono eseguiti on-premise o in un ambiente di provider cloud diversi.
Scalabilità: spesso i certificati sono stati costosi da ottenere e difficili da eseguire il provisioning e da gestire. Offrendo l'accesso a grandi volumi di certificati, la Public CA ti consente di utilizzare e gestire i certificati in modi che in precedenza erano considerati poco pratici.
Utilizzare la CA pubblica con Gestore certificati
Per utilizzare la funzionalità CA pubblica di Certificate Manager, devi conoscere i seguenti concetti:
Client ACME. Un client ACME (Automatic Certificate Management Environment) è un client di gestione dei certificati che utilizza il protocollo ACME. Il client ACME deve supportare l'associazione account esterno (EAB) per funzionare con la CA pubblica.
Associazione account esterno (EAB). Devi associare ogni account ACME che utilizzi con la CA pubblica di Certificate Manager al progetto Google Cloud di destinazione utilizzando l'associazione dell'account esterno. Per farlo, devi registrare ogni account ACME utilizzando un segreto collegato al progetto Google Cloud corrispondente. Per ulteriori informazioni, consulta la sezione Associazione di account esterni.
Sfide della Public CA
Quando utilizzi unaPublic CA per richiedere un certificato, Gestione certificati ti chiede di dimostrare il tuo controllo sui domini elencati nel certificato. Puoi dimostrare il controllo del dominio risolvendo le sfide. La Public CA autorizza i nomi di dominio dopo che hai dimostrato di avere il controllo dei domini di destinazione.
Dopo aver ottenuto le autorizzazioni richieste, puoi richiedere certificati validi solo per un determinato periodo di tempo. Al termine di questo periodo, per continuare a richiedere certificati devi convalidare nuovamente il nome di dominio risolvendo uno dei tre tipi di verifica.
Tipi di verifica dell'accesso
Public CA supporta i seguenti tipi di verifiche:
Sfida HTTP. Questa verifica prevede la creazione di un file in una posizione ben nota su un server HTTP (porta 80) da recuperare e verificare dallPublic CA. Per ulteriori informazioni, consulta la sezione Autenticazione HTTP.
Sfida ALPN (Application Layer Protocol Negotiation) TLS. Richiede a un server di fornire un certificato specifico durante una negoziazione TLS sulla porta 443 per dimostrare il controllo su un dominio. Per ulteriori informazioni, consulta Estensione della verifica ACME TLS-ALPN.
DNS challenge. Richiede l'aggiunta di un record DNS specifico in una posizione definita per dimostrare il controllo su un dominio. Per ulteriori informazioni, vedi DNS challenge.
Se utilizzi la verifica HTTP o la verifica TLS-ALPN per convalidare un nome di dominio, il client può richiedere solo che i nomi di dominio convalidati vengano inclusi in un certificato. Se utilizzi la verifica DNS, il cliente può anche richiedere l'inclusione dei sottodomini del nome di dominio in un certificato.
Ad esempio, se convalidi *.myorg.example.com utilizzando la verifica DNS, subdomain1.myorg.example.com e subdomain2.myorg.example.com sono coperti automaticamente dal certificato jolly. Tuttavia, se convalidi myorg.example.com utilizzando una verifica HTTP o TLS-ALPN, il client può richiedere solo di includere myorg.example.com nel certificato e non puoi convalidare myorg.example.com utilizzando le verifiche non DNS.*.myorg.example.com
Logica della soluzione della verifica
La logica della verifica CA pubblica è la seguente:
- Public CA fornisce un token casuale.
- Il client rende il token disponibile in una posizione ben definita. La posizione dipende dalla sfida.
- Il cliente indica all'Public CA di aver preparato la verifica.
- La Public CA controlla se il token presente nella posizione prevista corrisponde al valore previsto.
Il nome di dominio viene autorizzato al termine di questa procedura. Il cliente può richiedere un certificato contenente il nome di dominio. Devi risolvere solo una sfida per nome di dominio.