Public CA

Anda dapat menggunakan Otoritas Sertifikat Publik untuk menyediakan dan men-deploy sertifikat X.509 yang dipercaya secara luas setelah memvalidasi bahwa pemohon sertifikat mengontrol domain. CA Publik memungkinkan Anda meminta sertifikat TLS tepercaya publik secara langsung dan terprogram yang sudah ada di root trust store yang digunakan oleh browser, sistem operasi, dan aplikasi utama. Anda dapat menggunakan sertifikat TLS ini untuk mengautentikasi dan mengenkripsi traffic internet.

CA Publik memungkinkan Anda mengelola kasus penggunaan bervolume tinggi yang tidak dapat didukung oleh CA lain. Jika Anda adalah pelanggan, Anda dapat meminta sertifikat TLS untuk domain Anda langsung dari CA Publik. Google Cloud

Sebagian besar masalah terkait sertifikat disebabkan oleh kesalahan atau kelalaian manusia, jadi kami merekomendasikan untuk mengotomatiskan siklus proses sertifikat. CA Publik menggunakan protokol Automatic Certificate Management Environment (ACME) untuk penyediaan, perpanjangan, dan pencabutan sertifikat secara otomatis. Pengelolaan sertifikat otomatis mengurangi periode nonaktif yang dapat disebabkan oleh sertifikat yang telah habis masa berlakunya dan meminimalkan biaya operasional.

CA Publik menyediakan sertifikat TLS untuk beberapa layanan, seperti App Engine, Cloud Shell, Google Kubernetes Engine, dan Cloud Load Balancing. Google Cloud

Siapa yang sebaiknya menggunakan CA Publik

Anda dapat menggunakan CA Publik karena alasan berikut:

• Jika Anda mencari penyedia TLS dengan ubiquitas, skalabilitas, keamanan, dan keandalan yang tinggi.
• Jika Anda menginginkan sebagian besar, atau bahkan semua, sertifikat TLS untuk infrastruktur Anda, termasuk beban kerja lokal dan penyiapan lintas penyedia cloud, dari satu penyedia cloud.
• Jika Anda memerlukan kontrol dan fleksibilitas atas pengelolaan sertifikat TLS untuk menyesuaikannya dengan persyaratan infrastruktur Anda.
• Jika Anda ingin mengotomatiskan pengelolaan sertifikat TLS, tetapi tidak dapat menggunakan sertifikat terkelola di layanan, seperti GKE atau Cloud Load Balancing. Google Cloud

Sebaiknya gunakan sertifikat yang tepercaya secara publik hanya jika persyaratan bisnis Anda tidak mengizinkan opsi lain. Mengingat biaya historis dan kompleksitas pemeliharaan hierarki infrastruktur kunci publik (PKI), banyak perusahaan menggunakan hierarki PKI publik meskipun hierarki pribadi lebih masuk akal.

Mempertahankan hierarki publik dan pribadi menjadi jauh lebih sederhana dengan beberapa penawaranGoogle Cloud . Sebaiknya Anda memilih jenis PKI yang tepat dengan cermat untuk kasus penggunaan Anda.

Untuk persyaratan sertifikat non-publik, Google Cloud menawarkan dua solusi yang mudah dikelola:

• Anthos Service Mesh: Cloud Service Mesh mencakup penyediaan sertifikat mTLS yang sepenuhnya otomatis untuk workload yang berjalan di GKE Enterprise menggunakan otoritas sertifikat Cloud Service Mesh (otoritas sertifikat Cloud Service Mesh).

• Certificate Authority Service: Certificate Authority Service memungkinkan Anda men-deploy, mengelola, dan mengamankan CA pribadi kustom secara efisien tanpa mengelola infrastruktur.

Manfaat CA Publik

CA Publik memberikan manfaat berikut:

• Otomatisasi: Karena browser internet bertujuan untuk mengenkripsi traffic sepenuhnya dan mengurangi masa berlaku sertifikat, ada risiko penggunaan sertifikat TLS yang sudah habis masa berlakunya. Masa berlaku sertifikat yang habis dapat menyebabkan error situs, dan dapat menyebabkan gangguan layanan. CA publik menghindari masalah masa berlaku sertifikat dengan memungkinkan Anda menyiapkan server HTTPS untuk otomatis mendapatkan dan memperpanjang sertifikat TLS yang diperlukan dari endpoint ACME kami.

• Kepatuhan: CA publik menjalani audit independen yang ketat dan rutin terhadap kontrol keamanan, privasi, dan kepatuhan. Segel Webtrust yang diberikan sebagai hasil dari audit tahunan ini menunjukkan kesesuaian CA Publik dengan semua standar industri yang relevan.

• Keamanan: Arsitektur dan operasi CA Publik didesain dengan standar keamanan tingkat tertinggi dan secara rutin menjalankan penilaian independen untuk mengonfirmasi keamanan infrastruktur yang mendasarinya. CA Publik memenuhi atau melampaui semua kontrol, praktik operasional, dan tindakan keamanan yang disebutkan dalam laporan resmi Keamanan Google.

  Fokus CA publik pada keamanan mencakup fitur seperti validasi domain multi-perspektif. Infrastruktur CA publik didistribusikan secara global. Oleh karena itu, CA Publik memerlukan tingkat kesepakatan yang tinggi di berbagai perspektif geografis, yang memberikan perlindungan terhadap serangan pembajakan Border Gateway Protocol (BGP) dan pembajakan Server Nama Domain (DNS).

• Keandalan: Penggunaan infrastruktur teknis Google yang telah terbukti menjadikan CA Publik sebagai layanan yang sangat tersedia dan skalabel.

• Ubiquitas: Ubiquitas browser yang kuat dari Google Trust Services membantu memastikan bahwa layanan yang menggunakan sertifikat yang dikeluarkan oleh CA Publik berfungsi di berbagai perangkat dan sistem operasi.

• Solusi TLS yang disederhanakan untuk penyiapan hybrid: CA publik memungkinkan Anda membuat solusi sertifikat TLS kustom yang menggunakan CA yang sama untuk berbagai skenario dan kasus penggunaan. CA Publik secara efektif melayani kasus penggunaan saat workload berjalan secara lokal atau di lingkungan penyedia lintas cloud.

• Skala: Mendapatkan sertifikat sering kali mahal dan sulit disediakan dan dikelola. Dengan menawarkan akses ke sertifikat dalam jumlah besar, CA Publik memungkinkan Anda menggunakan dan mengelola sertifikat dengan cara yang sebelumnya dianggap tidak praktis.

Menggunakan CA Publik dengan Certificate Manager

Untuk menggunakan fitur CA Publik Pengelola Sertifikat, Anda harus memahami konsep berikut:

• Klien ACME. Klien Automatic Certificate Management Environment (ACME) adalah klien pengelolaan sertifikat yang menggunakan protokol ACME. Klien ACME Anda harus mendukung pengikatan akun eksternal (EAB) agar dapat berfungsi dengan CA Publik.

• Penautan akun eksternal (EAB). Anda harus mengikat setiap akun ACME yang Anda gunakan dengan CA Publik Pengelola Sertifikat ke project target menggunakan pengikatan akun eksternal. Google Cloud Untuk melakukannya, Anda harus mendaftarkan setiap akun ACME menggunakan rahasia yang ditautkan ke project yang sesuai. Google Cloud Untuk mengetahui informasi selengkapnya, lihat Penautan akun eksternal.

Tantangan CA publik

Saat Anda menggunakan CA Publik untuk meminta sertifikat, Certificate Manager akan meminta Anda membuktikan kontrol Anda atas domain yang tercantum dalam sertifikat tersebut. Anda dapat membuktikan kontrol domain dengan menyelesaikan tantangan. CA Publik mengizinkan nama domain setelah Anda membuktikan kontrol Anda atas domain target.

Setelah mendapatkan otorisasi yang diperlukan, Anda dapat meminta sertifikat yang hanya valid untuk durasi tertentu. Setelah durasi ini, Anda harus memvalidasi ulang nama domain dengan menyelesaikan salah satu dari tiga jenis tantangan untuk terus meminta sertifikat.

Jenis verifikasi login

CA Publik mendukung jenis tantangan berikut:

• Tantangan HTTP. Tantangan ini melibatkan pembuatan file di lokasi yang sudah dikenal di server HTTP (port 80) agar CA Publik dapat mengambil dan memverifikasinya. Untuk mengetahui informasi selengkapnya, lihat Tantangan HTTP.

• Tantangan TLS-Application Layer Protocol Negotiation (ALPN). Mewajibkan server untuk memberikan sertifikat tertentu selama negosiasi TLS di port 443 untuk membuktikan kontrol atas domain. Untuk mengetahui informasi selengkapnya, lihat Ekstensi verifikasi TLS-ALPN ACME.

• Tantangan DNS. Memerlukan penambahan data DNS tertentu di lokasi yang ditentukan untuk membuktikan kontrol atas domain. Untuk mengetahui informasi selengkapnya, lihat Tantangan DNS.

Jika Anda menggunakan tantangan HTTP atau tantangan TLS-ALPN untuk memvalidasi nama domain, klien hanya dapat meminta nama domain yang divalidasi untuk disertakan dalam sertifikat. Jika Anda menggunakan metode verifikasi DNS, klien juga dapat meminta agar subdomain dari nama domain tersebut disertakan dalam sertifikat.

Misalnya, jika Anda memvalidasi *.myorg.example.com menggunakan tantangan DNS, maka subdomain1.myorg.example.com dan subdomain2.myorg.example.com akan otomatis tercakup oleh sertifikat wildcard. Namun, jika Anda memvalidasi myorg.example.com menggunakan tantangan HTTP atau TLS-ALPN, klien hanya dapat meminta untuk menyertakan myorg.example.com dalam sertifikat dan Anda tidak dapat memvalidasi *.myorg.example.com menggunakan tantangan non-DNS.

Logika solusi tantangan

Logika tantangan CA Publik adalah sebagai berikut:

1. CA Publik menyediakan token acak.
2. Klien membuat token tersedia di lokasi yang ditentukan dengan baik. Lokasi bergantung pada tantangan.
3. Klien menunjukkan kepada CA Publik bahwa klien telah menyiapkan tantangan.
4. CA Publik memeriksa apakah token yang ada di lokasi yang diharapkan cocok dengan nilai yang diharapkan.

Nama domain akan diizinkan setelah proses ini selesai. Klien dapat meminta sertifikat dengan nama domain tersebut. Anda hanya perlu menyelesaikan satu tantangan per nama domain.

Langkah berikutnya

• Meminta sertifikat menggunakan CA Publik (tutorial)