Puoi utilizzare la Public Certificate Authority per eseguire il provisioning e il deployment di certificati X.509 ampiamente attendibili dopo aver convalidato che il richiedente del certificato controlla i domini. Public CA ti consente di richiedere direttamente e a livello di programmazione certificati TLS attendibili pubblicamente che sono già nella radice degli archivi di attendibilità utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet.
Public CA ti consente di gestire casi d'uso con volumi elevati che altre CA non sono state in grado di supportare. Se sei un Google Cloud cliente, puoi richiedere certificati TLS per i tuoi domini direttamente dall'autorità di certificazione pubblica.
La maggior parte dei problemi relativi ai certificati è dovuta a errori o omissioni umane, pertanto ti consigliamo di automatizzare i cicli di vita dei certificati. La Public CA utilizza il protocollo ACME (Automatic Certificate Management Environment) per il provisioning, il rinnovo e la revoca automatizzati dei certificati. La gestione automatizzata dei certificati riduce i tempi di inattività che i certificati scaduti possono causare e riduce al minimo i costi operativi.
Public CA esegue il provisioning dei certificati TLS per diversi Google Cloudservizi, come App Engine, Cloud Shell, Google Kubernetes Engine e Cloud Load Balancing.
Chi deve utilizzare Public CA
Puoi utilizzare Public CA per i seguenti motivi:
- Se stai cercando un provider TLS con elevata ubiquità, scalabilità, sicurezza e affidabilità.
- Se vuoi la maggior parte, se non tutti, i certificati TLS per la tua infrastruttura, inclusi i carichi di lavoro on-premise e le configurazioni di provider cloud incrociati, da un singolo provider cloud.
- Se hai bisogno di controllo e flessibilità sulla gestione dei certificati TLS per personalizzarli in base ai requisiti dell'infrastruttura.
- Se vuoi automatizzare la gestione dei certificati TLS, ma non puoi utilizzare i certificati gestiti nei Google Cloud servizi, come GKE o Cloud Load Balancing.
Ti consigliamo di utilizzare certificati attendibili pubblicamente solo quando i requisiti aziendali non consentono un'altra opzione. Dato il costo storico e la complessità della manutenzione delle gerarchie dell'infrastruttura a chiave pubblica (PKI), molte aziende utilizzano gerarchie PKI pubbliche anche quando una gerarchia privata ha più senso.
La manutenzione delle gerarchie pubbliche e private è diventata molto più semplice con più Google Cloud offerte. Ti consigliamo di scegliere attentamente il tipo di PKI giusto per il tuo caso d'uso.
Per i requisiti dei certificati non pubblici, Google Cloud offre due soluzioni facili da gestire:
Anthos Service Mesh: Cloud Service Mesh include il provisioning dei certificati mTLS completamente automatizzato per i carichi di lavoro in esecuzione in GKE Enterprise utilizzando l'autorità di certificazione Cloud Service Mesh (autorità di certificazione Cloud Service Mesh).
Certificate Authority Service: Certificate Authority Service ti consente di eseguire il deployment, gestire e proteggere in modo efficiente le CA private personalizzate senza gestire l'infrastruttura.
Vantaggi di Public CA
Public CA offre i seguenti vantaggi:
Automazione: poiché i browser internet mirano a un traffico completamente criptato e alla riduzione dei periodi di validità dei certificati, esiste il rischio di utilizzare certificati TLS scaduti. La scadenza dei certificati può causare errori del sito web e interruzioni del servizio. Public CA evita il problema della scadenza dei certificati consentendoti di configurare il server HTTPS in modo che ottenga e rinnovi automaticamente i certificati TLS necessari dal nostro endpoint ACME.
Conformità: Public CA è sottoposta a controlli di sicurezza, privacy e conformità indipendenti, rigorosi e regolari. I sigilli Webtrust concessi a seguito di questi audit annuali dimostrano la conformità dell'autorità di certificazione pubblica a tutti gli standard di settore pertinenti.
Sicurezza: l'architettura e le operazioni di Public CA sono progettate secondo i più elevati standard di sicurezza e vengono regolarmente sottoposte a valutazioni indipendenti per confermare la sicurezza dell'infrastruttura sottostante. La Public CA soddisfa o supera tutti i controlli, le pratiche operative e le misure di sicurezza menzionate nel white paper sulla sicurezza di Google.
L'attenzione dell'autorità della Public CA alla sicurezza si estende a funzionalità come la convalida del dominio da più prospettive. L'infrastruttura dell'autorità di certificazione pubblica è distribuita a livello globale. Pertanto, Public CA richiede un elevato grado di accordo tra prospettive geograficamente diverse, che fornisce protezione contro gli attacchi di hijacking del Border Gateway Protocol (BGP) e del server dei nomi di dominio (DNS).
Affidabilità: l'utilizzo dell'infrastruttura tecnica collaudata di Google rende Public CA un servizio altamente disponibile e scalabile.
Ubiquità: la forte ubiquità dei browser di Google Trust Services contribuisce a garantire che i servizi che utilizzano i certificati emessi da Public CA funzionino sulla più ampia gamma possibile di dispositivi e sistemi operativi.
Soluzioni TLS semplificate per configurazioni ibride: Public CA ti consente di creare una soluzione di certificati TLS personalizzata che utilizza la stessa CA per diversi scenari e casi d'uso. Public CA serve in modo efficace i casi d'uso in cui i carichi di lavoro sono in esecuzione on-premise o in un ambiente di provider cloud incrociato.
Scala: i certificati sono spesso costosi da ottenere e difficili da eseguire il provisioning e gestire. Offrendo l'accesso a grandi volumi di certificati, Public CA ti consente di utilizzare e gestire i certificati in modi che in precedenza erano considerati impraticabili.
Utilizzare Public CA con Certificate Manager
Per utilizzare la funzionalità Public CA di Certificate Manager, devi conoscere i seguenti concetti:
Client ACME. Un client ACME (Automatic Certificate Management Environment) è un client di gestione dei certificati che utilizza il protocollo ACME. Il client ACME deve supportare il collegamento dell'account esterno (EAB) per funzionare con Public CA.
Collegamento dell'account esterno (EAB). Devi collegare ogni account ACME che utilizzi con Certificate Manager Public CA al progetto di destinazione Google Cloud utilizzando il collegamento dell'account esterno. Per farlo, devi registrare ogni account ACME utilizzando un secret collegato al progetto corrispondente Google Cloud . Per saperne di più, consulta Collegamento dell'account esterno.
Sfide di Public CA
Quando utilizzi Public CA per richiedere un certificato, Certificate Manager ti chiede di dimostrare il controllo sui domini elencati nel certificato. Puoi dimostrare il controllo del dominio risolvendo le verifiche. La Public CA autorizza i nomi di dominio dopo che hai dimostrato il controllo dei domini di destinazione.
Dopo aver ottenuto le autorizzazioni richieste, puoi richiedere certificati validi solo per una durata specifica. Trascorso questo periodo, devi riconvalidare il nome di dominio risolvendo uno dei tre tipi di verifica per continuare a richiedere i certificati.
Tipi di verifica dell'accesso
Public CA supporta i seguenti tipi di verifiche:
Verifica HTTP. Questa verifica prevede la creazione di un file in una posizione nota su un server HTTP (porta 80) per Public CA da recuperare e verificare. Per saperne di più, consulta Verifica HTTP.
Verifica TLS-ALPN (Application Layer Protocol Negotiation). Richiede a un server di fornire un certificato specifico durante una negoziazione TLS sulla porta 443 per dimostrare il controllo su un dominio. Per saperne di più, consulta Estensione della verifica TLS-ALPN ACME.
Verifica DNS. Richiede l'aggiunta di un record DNS specifico in una posizione definita per dimostrare il controllo su un dominio. Per saperne di più, consulta Verifica DNS.
Se utilizzi la verifica HTTP o la verifica TLS-ALPN per convalidare un nome di dominio, il client può richiedere solo l'inclusione dei nomi di dominio convalidati in un certificato. Se utilizzi la verifica DNS, il client può anche richiedere l'inclusione dei sottodomini del nome di dominio in un certificato.
Ad esempio, se convalidi *.myorg.example.com utilizzando la verifica DNS, subdomain1.myorg.example.com e subdomain2.myorg.example.com vengono automaticamente coperti dal certificato con carattere jolly. Tuttavia, se convalidi myorg.example.com utilizzando una verifica HTTP o
TLS-ALPN, il client può richiedere solo l'inclusione di myorg.example.com nel
certificato e non puoi convalidare *.myorg.example.com utilizzando le verifiche non DNS.
Logica della soluzione di verifica
La logica di verifica di Public CA è la seguente:
- La Public CA fornisce un token casuale.
- Il client rende disponibile il token in una posizione ben definita. La posizione dipende dalla verifica.
- Il client indica alla Public CA di aver preparato la verifica.
- Public CA controlla se il token presente nella posizione prevista corrisponde al valore previsto.
Il nome di dominio viene autorizzato al termine di questa procedura. Il client può richiedere un certificato con il nome di dominio. Devi risolvere una sola verifica per ogni nome di dominio.