Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan Certificate Authority Service

Certificate Authority Service (CA Service) adalah layanan yang sangat skalabel Google Cloud yang memungkinkan Anda menyederhanakan dan mengotomatiskan deployment, pengelolaan, dan pengamanan certificate authority (CA) pribadi. CA pribadi menerbitkan sertifikat digital yang mencakup identitas entitas, identitas penerbit, dan tanda tangan kriptografis. Sertifikat pribadi adalah salah satu cara paling umum untuk mengautentikasi pengguna, mesin, atau layanan melalui jaringan. Sertifikat pribadi sering digunakan di lingkungan DevOps untuk melindungi container, microservice, mesin virtual, dan akun layanan.

Dengan CA Service, Anda dapat melakukan hal berikut:

Membuat CA root dan subordinat kustom.
Menentukan subjek, algoritma kunci, dan lokasi CA.
Memilih region CA subordinat yang independen dari region CA root-nya.
Membuat template yang dapat digunakan kembali dan diberi parameter untuk skenario penerbitan sertifikat umum.
Menggunakan CA root Anda sendiri dan mengonfigurasi CA lain untuk terhubung ke CA root yang ada CA yang berjalan secara lokal atau di tempat lain di luar Google Cloud.
Menyimpan kunci CA pribadi Anda menggunakan Cloud HSM, yang divalidasi FIPS 140-2 Level 3 dan tersedia di beberapa region di benua Amerika, Eropa, dan Asia Pasifik.
Mendapatkan log dan memperoleh visibilitas terkait siapa yang melakukan apa, kapan, dan di mana dengan Cloud Audit Logs.
Menentukan kontrol akses terperinci dengan Identity and Access Management (IAM) dan perimeter keamanan virtual dengan Kontrol Layanan VPC.
Mengelola sertifikat dalam jumlah besar karena mengetahui bahwa CA Service mendukung penerbitan hingga 25 sertifikat per detik per CA (tingkat DevOps), yang berarti bahwa setiap CA dapat menerbitkan jutaan sertifikat. Anda dapat membuat beberapa CA di balik satu endpoint penerbitan yang disebut kumpulan CA dan mendistribusikan permintaan sertifikat yang masuk ke semua CA. Dengan fitur ini, Anda dapat menerbitkan hingga 100 sertifikat per detik secara efektif.
Mengelola, mengotomatiskan, dan mengintegrasikan CA pribadi dengan cara apa pun yang paling nyaman bagi Anda: menggunakan API, Google Cloud CLI, Google Cloud konsol, atau Terraform.

Kasus penggunaan sertifikat

Anda dapat menggunakan CA pribadi untuk menerbitkan sertifikat untuk kasus penggunaan berikut:

Integritas supply chain software dan identitas kode: Sertifikat penandatanganan kode, autentikasi artefak, dan sertifikat identitas aplikasi.
Identitas pengguna: Sertifikat autentikasi klien yang digunakan sebagai identitas pengguna untuk jaringan zero trust, VPN, penandatanganan dokumen, email, kartu smart, dan lainnya.
Identitas perangkat IoT dan seluler: Sertifikat autentikasi klien yang digunakan sebagai identitas dan autentikasi perangkat, misalnya, akses nirkabel.
Identitas intraservice: Sertifikat mTLS yang digunakan oleh microservice.
Saluran continuous integration dan continuous delivery (CI/CD): Sertifikat penandatanganan kode yang digunakan di seluruh build CI/CD untuk meningkatkan integritas dan keamanan kode.
Kubernetes dan Istio: Sertifikat untuk mengamankan koneksi antara komponen Kubernetes dan Istio.

Alasan memilih PKI pribadi

Dalam Infrastruktur Kunci Publik (PKI) Web yang umum, jutaan klien di seluruh dunia mempercayai serangkaian certificate authority (CA) independen untuk menegaskan identitas (seperti nama domain) dalam sertifikat. Sebagai bagian dari tanggung jawabnya, CA berkomitmen untuk hanya menerbitkan sertifikat jika mereka telah memvalidasi identitas dalam sertifikat tersebut secara independen. Misalnya, CA biasanya perlu memverifikasi bahwa seseorang yang meminta sertifikat untuk nama domain example.com benar-benar mengontrol domain tersebut sebelum menerbitkan sertifikat untuknya. Karena CA tersebut dapat menerbitkan sertifikat untuk jutaan pelanggan yang mungkin tidak memiliki hubungan langsung yang ada, CA tersebut terbatas untuk menegaskan identitas yang dapat diverifikasi secara publik. CA tersebut terbatas pada proses verifikasi tertentu yang ditetapkan dengan baik dan diterapkan secara konsisten di seluruh PKI Web.

Tidak seperti PKI Web, PKI pribadi sering kali melibatkan hierarki CA yang lebih kecil, yang dikelola langsung oleh organisasi. PKI pribadi hanya mengirimkan sertifikat ke klien yang secara inheren mempercayai organisasi untuk memiliki kontrol yang sesuai (misalnya, mesin yang dimiliki oleh organisasi tersebut). Karena admin CA sering kali memiliki cara sendiri untuk memvalidasi identitas yang sertifikatnya diterbitkan (misalnya, menerbitkan sertifikat kepada karyawan mereka sendiri), mereka tidak dibatasi oleh persyaratan yang sama seperti untuk PKI Web. Fleksibilitas ini adalah salah satu keunggulan utama PKI pribadi dibandingkan PKI Web. PKI pribadi memungkinkan kasus penggunaan baru seperti mengamankan situs internal dengan nama domain pendek tanpa memerlukan kepemilikan unik atas nama tersebut, atau mengenkode format identitas alternatif (seperti ID SPIFFE) ke dalam sertifikat.

Selain itu, PKI Web mengharuskan semua CA mencatat setiap sertifikat yang telah diterbitkan ke log Transparansi Sertifikat publik, yang mungkin tidak diperlukan untuk organisasi yang menerbitkan sertifikat ke layanan internalnya. PKI pribadi memungkinkan organisasi menjaga topologi infrastruktur internal mereka, seperti nama layanan atau aplikasi jaringan mereka, tetap pribadi dari seluruh dunia.

Langkah berikutnya

Memahami harga CA Service.

Mempelajari keamanan dan kepatuhan.

Meninjau lokasi CA Service lokasi.

Mulai menggunakan CA Service.