Public CA

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Anda dapat menggunakan CA Certificate Authority Publik untuk menyediakan dan men-deploy sertifikat X.509 yang dipercaya secara luas setelah memvalidasi bahwa pemohon sertifikat mengontrol domain. CA publik memungkinkan Anda secara langsung dan terprogram meminta sertifikat TLS tepercaya secara publik yang sudah ada di root trust store yang digunakan oleh browser, sistem operasi, dan aplikasi utama. Anda dapat menggunakan sertifikat TLS ini untuk mengautentikasi dan mengenkripsi traffic internet.

CA publik memungkinkan Anda mengelola kasus penggunaan bervolume tinggi yang tidak dapat didukung oleh CA tradisional. Jika Anda adalah Google Cloud pelanggan, Anda dapat meminta sertifikat TLS untuk domain Anda langsung dari CA Publik.

Sebagian besar masalah terkait sertifikat disebabkan oleh kesalahan atau kelalaian manusia, jadi sebaiknya otomatiskan siklus proses sertifikat. CA publik menggunakan protokol Automatic Certificate Management Environment (ACME) untuk penyediaan, perpanjangan, dan pencabutan sertifikat otomatis. Pengelolaan sertifikat otomatis mengurangi periode nonaktif yang dapat disebabkan oleh sertifikat yang sudah tidak berlaku dan meminimalkan biaya operasional.

CA publik menyediakan sertifikat TLS untuk beberapa layanan Google Cloud, seperti App Engine, Cloud Shell, Google Kubernetes Engine, dan Cloud Load Balancing.

Siapa yang harus menggunakan CA Publik

Anda dapat menggunakan CA Publik karena alasan berikut:

• Jika Anda mencari penyedia TLS dengan keandalan, skalabilitas, keamanan, dan kelaziman tinggi.
• Jika Anda menginginkan sebagian besar, jika tidak semua, sertifikat TLS untuk infrastruktur Anda, termasuk beban kerja lokal dan penyiapan penyedia lintas cloud, dari satu penyedia cloud.
• Jika Anda memerlukan kontrol dan fleksibilitas atas pengelolaan sertifikat TLS untuk menyesuaikannya dengan persyaratan infrastruktur Anda.
• Jika Anda ingin mengotomatiskan pengelolaan sertifikat TLS, tetapi tidak dapat menggunakan sertifikat terkelola di layanan Google Cloud , seperti GKE atau Cloud Load Balancing.

Sebaiknya Anda hanya menggunakan sertifikat tepercaya secara publik jika persyaratan bisnis Anda tidak mengizinkan opsi lain. Mengingat biaya historis dan kompleksitas dalam mempertahankan hierarki infrastruktur kunci publik (PKI), banyak perusahaan menggunakan hierarki PKI publik meskipun hierarki pribadi lebih masuk akal.

Mengelola hierarki publik dan pribadi menjadi jauh lebih mudah dengan beberapa penawaranGoogle Cloud . Sebaiknya pilih jenis PKI yang tepat untuk kasus penggunaan Anda dengan cermat.

Untuk persyaratan sertifikat non-publik, Google Cloud menawarkan dua solusi yang mudah dikelola:

• Anthos Service Mesh: Cloud Service Mesh mencakup penyediaan sertifikat mTLS yang sepenuhnya otomatis untuk beban kerja yang berjalan di GKE Enterprise menggunakan Certificate Authority Cloud Service Mesh (Certificate Authority Cloud Service Mesh).

• Certificate Authority Service: Certificate Authority Service memungkinkan Anda men-deploy, mengelola, dan mengamankan CA pribadi kustom secara efisien tanpa mengelola infrastruktur.

Manfaat Public CA

CA publik memberikan manfaat berikut:

• Otomatisasi: Karena browser internet bertujuan untuk traffic yang dienkripsi sepenuhnya dan pengurangan periode validitas sertifikat, ada risiko penggunaan sertifikat TLS yang sudah tidak berlaku. Masa berlaku sertifikat yang habis dapat menyebabkan error situs, dan dapat menyebabkan pemadaman layanan. CA publik menghindari masalah masa berlaku sertifikat dengan memungkinkan Anda menyiapkan server HTTPS untuk secara otomatis mendapatkan dan memperpanjang sertifikat TLS yang diperlukan dari endpoint ACME kami.

• Kepatuhan: CA publik menjalani audit independen yang ketat dan rutin terhadap kontrol keamanan, privasi, dan kepatuhan. Segel Webtrust yang diberikan sebagai hasil dari audit tahunan ini menunjukkan kepatuhan CA Publik dengan semua standar industri yang relevan.

• Keamanan: Arsitektur dan operasi CA Publik dirancang dengan standar keamanan tingkat tertinggi dan secara rutin menjalankan penilaian independen untuk mengonfirmasi keamanan infrastruktur yang mendasarinya. CA publik memenuhi atau melampaui semua kontrol, praktik operasional, dan tindakan keamanan yang disebutkan dalam laporan resmi Keamanan Google.

  Fokus CA publik pada keamanan meluas ke fitur seperti validasi domain multi-perspektif. Infrastruktur CA publik didistribusikan secara global. Oleh karena itu, CA Publik memerlukan tingkat kesepakatan yang tinggi di seluruh perspektif yang beragam secara geografis, yang memberikan perlindungan terhadap serangan pembajakan Border Gateway Protocol (BGP) dan pembajakan Server Nama Domain (DNS).

• Keandalan: Penggunaan infrastruktur teknis Google yang telah terbukti membuat CA Publik menjadi layanan yang sangat tersedia dan skalabel.

• Ketersediaan: Ketersediaan browser yang kuat dari Layanan Kepercayaan Google membantu memastikan bahwa layanan yang menggunakan sertifikat yang diterbitkan CA Publik berfungsi di berbagai perangkat dan sistem operasi sebanyak mungkin.

• Solusi TLS yang disederhanakan untuk penyiapan campuran: CA publik memungkinkan Anda membuat solusi sertifikat TLS kustom yang menggunakan CA yang sama untuk berbagai skenario dan kasus penggunaan. CA publik secara efektif melayani kasus penggunaan saat beban kerja berjalan di lokal atau di lingkungan penyedia lintas cloud.

• Skala: Sering kali sertifikat memiliki biaya yang mahal untuk diperoleh serta sulit disediakan dan dikelola. Dengan menawarkan akses ke sertifikat dalam jumlah besar, Public CA memungkinkan Anda menggunakan dan mengelola sertifikat dengan cara yang sebelumnya dianggap tidak praktis.

Menggunakan Public CA dengan Certificate Manager

Untuk menggunakan fitur CA publik Pengelola Sertifikat, Anda harus memahami konsep berikut:

• Klien ACME. Klien Automatic Certificate Management Environment (ACME) adalah klien pengelolaan sertifikat yang menggunakan protokol ACME. Klien ACME Anda harus mendukung external account binding (EAB) agar dapat berfungsi dengan CA Publik.

• External account binding (EAB). Anda harus mengikat setiap akun ACME yang Anda gunakan dengan CA publik Pengelola Sertifikat ke project Google Cloud target menggunakan binding akun eksternal. Untuk melakukannya, Anda harus mendaftarkan setiap akun ACME menggunakan secret yang ditautkan ke project Google Cloud yang sesuai. Untuk informasi selengkapnya, lihat Penautan akun eksternal.

Tantangan CA publik

Saat Anda menggunakan Public CA untuk meminta sertifikat, Pengelola Sertifikat akan meminta Anda untuk membuktikan kontrol Anda atas domain yang tercantum dalam sertifikat tersebut. Anda dapat membuktikan kontrol domain dengan menyelesaikan tantangan. CA publik memberikan otorisasi nama domain setelah Anda membuktikan kontrol atas domain target.

Setelah mendapatkan otorisasi yang diperlukan, Anda dapat meminta sertifikat yang hanya berlaku untuk durasi waktu tertentu. Setelah durasi ini, Anda harus memvalidasi ulang nama domain dengan menyelesaikan salah satu dari tiga jenis verifikasi untuk terus meminta sertifikat.

Jenis verifikasi login

CA publik mendukung jenis tantangan berikut:

• Tantangan HTTP. Tantangan ini melibatkan pembuatan file di lokasi terkenal di server HTTP (port 80) agar CA Publik dapat mengambil dan memverifikasinya. Untuk mengetahui informasi selengkapnya, lihat Tantangan HTTP.

• Tantangan TLS-Application Layer Protocol Negotiation (ALPN). Mewajibkan server untuk memberikan sertifikat tertentu selama negosiasi TLS di port 443 untuk membuktikan kontrol atas domain. Untuk mengetahui informasi selengkapnya, lihat Ekstensi tantangan TLS-ALPN ACME.

• Tantangan DNS. Memerlukan penambahan data DNS tertentu di lokasi yang ditentukan untuk membuktikan kontrol atas domain. Untuk mengetahui informasi selengkapnya, lihat Tantangan DNS.

Jika Anda menggunakan tantangan HTTP atau tantangan TLS-ALPN untuk memvalidasi nama domain, klien hanya dapat meminta nama domain yang divalidasi untuk disertakan dalam sertifikat. Jika Anda menggunakan tantangan DNS, klien juga dapat meminta subdomain nama domain tersebut untuk disertakan dalam sertifikat.

Misalnya, jika Anda memvalidasi *.myorg.example.com menggunakan tantangan DNS, maka subdomain1.myorg.example.com dan subdomain2.myorg.example.com akan otomatis tercakup oleh sertifikat karakter pengganti. Namun, jika Anda memvalidasi myorg.example.com menggunakan tantangan HTTP atau TLS-ALPN, klien hanya dapat meminta untuk menyertakan myorg.example.com dalam sertifikat dan Anda tidak dapat memvalidasi *.myorg.example.com menggunakan tantangan non-DNS.

Logika solusi tantangan

Logika tantangan CA publik adalah sebagai berikut:

1. CA publik memberikan token acak.
2. Klien menyediakan token di lokasi yang ditentukan dengan baik. Lokasi bergantung pada tantangan.
3. Klien menunjukkan kepada CA Publik bahwa klien telah menyiapkan tantangan.
4. CA publik memeriksa apakah token yang ada di lokasi yang diharapkan cocok dengan nilai yang diharapkan.

Nama domain akan diberi otorisasi setelah proses ini selesai. Klien dapat meminta sertifikat dengan nama domain tersebut. Anda hanya perlu menyelesaikan satu tantangan per nama domain.

Batasan Public CA

Rilis CA Publik ini tidak mendukung domain punycode.

Langkah berikutnya

• Meminta sertifikat menggunakan Public CA (tutorial)