Vous pouvez utiliser l'autorité de certification publique pour provisionner et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Une autorité de certification publique vous permet de demander directement et par programmation des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet.
Les autorités de certification publiques vous permettent de gérer des cas d'utilisation à fort volume que les autorités de certification traditionnelles n'ont pas pu prendre en charge. Si vous êtes un Google Cloud client, vous pouvez demander des certificats TLS pour vos domaines directement auprès de l'autorité de certification publique.
La plupart des problèmes liés aux certificats sont dus à une erreur ou à une négligence humaine. Nous vous recommandons donc d'automatiser le cycle de vie des certificats. L'autorité de certification publique utilise le protocole Automatic Certificate Management Environment (ACME) pour le provisionnement, le renouvellement et la révocation automatiques des certificats. La gestion automatisée des certificats réduit les temps d'arrêt pouvant être causés par les certificats expirés et minimise les coûts opérationnels.
L'autorité de certification publique fournit des certificats TLS pour plusieurs Google Cloud services, tels que App Engine, Cloud Shell, Google Kubernetes Engine et Cloud Load Balancing.
Qui doit utiliser une autorité de certification publique ?
Vous pouvez utiliser une autorité de certification publique pour les raisons suivantes:
- Si vous recherchez un fournisseur TLS offrant une grande ubiquité, évolutivité, sécurité et fiabilité.
- Si vous souhaitez obtenir la plupart, voire tous les certificats TLS pour votre infrastructure, y compris les charges de travail sur site et les configurations multi-fournisseurs cloud, auprès d'un seul fournisseur cloud.
- Si vous avez besoin de contrôler et de gérer de manière flexible la gestion des certificats TLS pour l'adapter à vos exigences d'infrastructure.
- Si vous souhaitez automatiser la gestion des certificats TLS, mais que vous ne pouvez pas utiliser de certificats gérés dans des services Google Cloud , tels que GKE ou Cloud Load Balancing.
Nous vous recommandons de n'utiliser des certificats approuvés publiquement que lorsque vos exigences métier ne permettent pas d'utiliser une autre option. Compte tenu des coûts et de la complexité historiques de la gestion des hiérarchies d'infrastructure de clés publiques (PKI), de nombreuses entreprises utilisent des hiérarchies PKI publiques, même lorsqu'une hiérarchie privée est plus adaptée.
La gestion des hiérarchies publiques et privées est devenue beaucoup plus simple grâce aux multiples offresGoogle Cloud . Nous vous recommandons de choisir soigneusement le bon type de PKI pour votre cas d'utilisation.
Pour les exigences de certificats non publics, Google Cloud propose deux solutions faciles à gérer:
Anthos Service Mesh: Cloud Service Mesh inclut le provisionnement entièrement automatisé des certificats mTLS pour les charges de travail exécutées dans GKE Enterprise à l'aide de l'autorité de certification Cloud Service Mesh.
Certificate Authority Service (Service d'autorité de certification) : Certificate Authority Service vous permet de déployer, de gérer et de sécuriser efficacement des autorités de certification privées personnalisées sans gérer l'infrastructure.
Avantages d'une autorité de certification publique
Les autorités de certification publiques offrent les avantages suivants:
Automatisation: les navigateurs Internet visent un trafic entièrement chiffré et la réduction des périodes de validité des certificats. Il existe donc un risque d'utiliser des certificats TLS expirés. L'expiration d'un certificat peut entraîner des erreurs sur le site Web et des interruptions de service. Une autorité de certification publique évite le problème d'expiration des certificats en vous permettant de configurer votre serveur HTTPS pour qu'il obtienne et renouvelle automatiquement les certificats TLS nécessaires à partir de notre point de terminaison ACME.
Conformité: les autorités de certification publiques sont régulièrement soumises à des audits indépendants rigoureux de leurs dispositifs de sécurité, de confidentialité et de conformité. Les sceaux Webtrust accordés à la suite de ces audits annuels attestent de la conformité de la certification publique avec toutes les normes du secteur applicables.
Sécurité: l'architecture et les opérations de l'autorité de certification publique sont conçues selon les normes de sécurité les plus élevées et effectuent régulièrement des évaluations indépendantes pour confirmer la sécurité de l'infrastructure sous-jacente. Une autorité de certification publique respecte ou dépasse tous les contrôles, pratiques opérationnelles et mesures de sécurité mentionnés dans le livre blanc sur la sécurité de Google.
L'accent mis par les autorités de certification publiques sur la sécurité s'étend à des fonctionnalités telles que la validation multiperspective des domaines. L'infrastructure de la CA publique est distribuée à l'échelle mondiale. Par conséquent, une autorité de certification publique nécessite un haut niveau d'accord entre des perspectives géographiquement diverses, ce qui offre une protection contre les attaques de détournement de BGP (Border Gateway Protocol) et de détournement de DNS (Domain Name Server).
Fiabilité: l'utilisation de l'infrastructure technique éprouvée de Google fait de la CA publique un service hautement disponible et évolutif.
Ubiquité:l'ubiquité forte des navigateurs des services de confiance Google permet de s'assurer que les services utilisant des certificats émis par une autorité de certification publique fonctionnent sur la plus grande gamme d'appareils et de systèmes d'exploitation possible.
Solutions TLS simplifiées pour les configurations hybrides: les autorités de certification publiques vous permettent de créer une solution de certificat TLS personnalisée qui utilise la même autorité de certification pour divers scénarios et cas d'utilisation. Les autorités de certification publiques répondent efficacement aux cas d'utilisation où les charges de travail s'exécutent sur site ou dans un environnement multi-fournisseur cloud.
Échelle: l'obtention de certificats a souvent été coûteuse, et leur provisionnement et leur maintenance difficiles. En offrant un accès à de grands volumes de certificats, les autorités de certification publiques vous permettent d'utiliser et de gérer des certificats de manières qui étaient auparavant considérées comme peu pratiques.
Utiliser une autorité de certification publique avec le Gestionnaire de certificats
Pour utiliser la fonctionnalité de certification autorité de certification publique du gestionnaire de certificats, vous devez connaître les concepts suivants:
Client ACME Un client ACME (Automatic Certificate Management Environment) est un client de gestion de certificats qui utilise le protocole ACME. Votre client ACME doit être compatible avec la liaison de compte externe (EAB) pour fonctionner avec une autorité de certification publique.
Liaison de compte externe (EAB) Vous devez associer chaque compte ACME que vous utilisez avec l'autorité de certification publique du Gestionnaire de certificats au projet Google Cloud cible à l'aide de l'association de compte externe. Pour ce faire, vous devez enregistrer chaque compte ACME à l'aide d'un secret associé à son projet Google Cloud correspondant. Pour en savoir plus, consultez la section Association de comptes externes.
Défis liés aux autorités de certification publiques
Lorsque vous utilisez une autorité de certification publique pour demander un certificat, le Gestionnaire de certificats vous demande de prouver que vous contrôlez les domaines listés dans ce certificat. Vous pouvez prouver que vous contrôlez le domaine en résolvant des défis. L'autorité de certification publique autorise les noms de domaine une fois que vous avez prouvé que vous contrôlez les domaines cibles.
Une fois que vous avez obtenu les autorisations requises, vous pouvez demander des certificats qui ne sont valides que pendant une durée spécifique. Passé ce délai, vous devez valider à nouveau le nom de domaine en résolvant l'un des trois types de défis pour continuer à demander des certificats.
Types de questions d'authentification
Les autorités de certification publiques acceptent les types de défis suivants:
Défi HTTP Cette tâche consiste à créer un fichier à un emplacement bien connu sur un serveur HTTP (port 80) pour que l'autorité de certification publique puisse le récupérer et le valider. Pour en savoir plus, consultez la section Défi HTTP.
Défi TLS-ALPN (Application Layer Protocol Negotiation) Nécessite qu'un serveur fournisse un certificat spécifique lors d'une négociation TLS sur le port 443 pour prouver le contrôle d'un domaine. Pour en savoir plus, consultez la section Extension de défi TLS-ALPN ACME.
Défi DNS Nécessite l'ajout d'un enregistrement DNS spécifique à un emplacement défini pour prouver le contrôle d'un domaine. Pour en savoir plus, consultez Défi DNS.
Si vous utilisez le défi HTTP ou le défi TLS-ALPN pour valider un nom de domaine, le client ne peut demander que les noms de domaine validés à inclure dans un certificat. Si vous utilisez le défi DNS, le client peut également demander que les sous-domaines de ce nom de domaine soient inclus dans un certificat.
Par exemple, si vous validez *.myorg.example.com à l'aide de la requête DNS, subdomain1.myorg.example.com et subdomain2.myorg.example.com sont automatiquement couverts par le certificat générique. Toutefois, si vous validez myorg.example.com à l'aide d'un défi HTTP ou TLS-ALPN, le client ne peut demander à inclure myorg.example.com dans le certificat que si vous ne pouvez pas valider *.myorg.example.com à l'aide des défis non DNS.
Logique de solution de défi
La logique de défi de la certification autorité de certification publique est la suivante:
- L'autorité de certification publique fournit un jeton aléatoire.
- Le client met le jeton à disposition à un emplacement bien défini. L'emplacement dépend du défi.
- Le client indique à l'autorité de certification publique qu'il a préparé le défi.
- L'autorité de certification publique vérifie si le jeton présent à l'emplacement prévu correspond à la valeur attendue.
Le nom de domaine est autorisé une fois ce processus terminé. Le client peut demander un certificat contenant ce nom de domaine. Vous ne devez résoudre qu'un seul défi par nom de domaine.
Limites des autorités de certification publiques
Cette version de l'autorité de certification publique n'est pas compatible avec les domaines en punycode.