AC pública

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

É possível usar a autoridade certificadora pública (AC) para provisionar e implantar certificados X.509 de confiança geral depois de validar que o solicitante do certificado controla os domínios. A AC pública permite que você solicite de forma direta e programática certificados TLS de confiança pública que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet.

A AC pública permite gerenciar casos de uso de alto volume que as ACs tradicionais não conseguem atender. Se você for um Google Cloud cliente, poderá solicitar certificados TLS para seus domínios diretamente da AC pública.

A maioria dos problemas relacionados a certificados é devido a erro humano ou descuido. Por isso, recomendamos a automação dos ciclos de vida dos certificados. A AC pública usa o protocolo Ambiente de gerenciamento automático de certificados (ACME) para provisionamento, renovação e revogação automatizados de certificados. O gerenciamento automatizado de certificados reduz o tempo de inatividade que os certificados expirados podem causar e minimiza os custos operacionais.

As ACs públicas fornecem certificados TLS para vários Google Cloud serviços, como o App Engine, o Cloud Shell, o Google Kubernetes Engine e o Cloud Load Balancing.

Quem deve usar a AC pública

Você pode usar a AC pública pelos seguintes motivos:

• Se você está procurando um provedor de TLS com alta ubiquidade, escalabilidade, segurança e confiabilidade.
• Se você quiser a maioria ou todos os certificados TLS para sua infraestrutura, incluindo cargas de trabalho locais e configurações de provedor entre nuvens, de um único provedor de nuvem.
• Se você precisa de controle e flexibilidade sobre o gerenciamento de certificados TLS para personalizá-lo de acordo com os requisitos da sua infraestrutura.
• Se você quiser automatizar o gerenciamento de certificados TLS, mas não puder usar certificados gerenciados em serviços Google Cloud , como o GKE ou o Cloud Load Balancing.

Recomendamos que você use certificados de confiança públicos apenas quando os requisitos de negócios não permitirem outra opção. Devido ao custo histórico e à complexidade de manter hierarquias de infraestrutura de chave pública (PKI), muitas empresas usam hierarquias de PKI públicas, mesmo quando uma hierarquia privada faz mais sentido.

A manutenção de hierarquias públicas e privadas ficou muito mais simples com várias ofertas deGoogle Cloud . Recomendamos que você escolha cuidadosamente o tipo certo de PKI para seu caso de uso.

Para requisitos de certificados não públicos,o Google Cloud oferece duas soluções fáceis de gerenciar:

• Anthos Service Mesh: o Cloud Service Mesh inclui o provisionamento de certificados mTLS totalmente automatizado para cargas de trabalho executadas no GKE Enterprise usando a autoridade de certificação do Cloud Service Mesh.

• Certificate Authority Service: o Certificate Authority Service permite implantar, gerenciar e proteger ACs particulares personalizadas de maneira eficiente sem gerenciar a infraestrutura.

Benefícios da AC pública

A AC pública oferece os seguintes benefícios:

• Automação: como os navegadores da Internet têm como objetivo o tráfego totalmente criptografado e a redução dos períodos de validade dos certificados, há o risco de usar certificados TLS expirados. A expiração do certificado pode causar erros no site e interrupções no serviço. A AC pública evita o problema de expiração do certificado, permitindo que você configure o servidor HTTPS para obter e renovar automaticamente os certificados TLS necessários do endpoint ACME.

• Compliance: as ACs públicas passam por auditorias independentes rigorosas e regulares de controles de segurança, privacidade e compliance. Os selos do Webtrust concedidos como resultado dessas auditorias anuais demonstram a conformidade da AC pública com todos os padrões relevantes do setor.

• Segurança: a arquitetura e as operações da AC pública são projetadas para o mais alto nível de padrões de segurança e executam avaliações independentes regularmente para confirmar a segurança da infraestrutura subjacente. A AC pública atende ou excede todos os controles, práticas operacionais e medidas de segurança mencionados no documento de segurança do Google.

  O foco da AC pública na segurança se estende a recursos como a validação de domínio de várias perspectivas. A infraestrutura de uma AC pública é distribuída globalmente. Portanto, a AC pública exige um alto grau de concordância em perspectivas geograficamente diversas, o que oferece proteção contra ataques de sequestro do protocolo de gateway de borda (BGP) e de sequestro do servidor de nomes de domínio (DNS).

• Confiabilidade: o uso da infraestrutura técnica comprovada do Google torna a AC pública um serviço altamente disponível e escalonável.

• Ubiquidade:a ampla ubiquidade do navegador do Google Trust Services ajuda a garantir que os serviços que usam certificados emitidos por ACs públicas funcionem na maior variedade possível de dispositivos e sistemas operacionais.

• Soluções TLS simplificadas para configurações híbridas: as ACs públicas permitem criar uma solução de certificado TLS personalizada que usa a mesma AC para diversos cenários e casos de uso. A CA pública atende de maneira eficaz aos casos de uso em que as cargas de trabalho são executadas localmente ou em um ambiente de provedor cross-cloud.

• Escalabilidade: os certificados costumam ser caros e difíceis de provisionar e manter. Ao oferecer acesso a grandes volumes de certificados, as ACs públicas permitem que você utilize e gerencie certificados de maneiras que antes eram consideradas impraticáveis.

Usar a AC pública com o Gerenciador de certificados

Para usar o recurso de AC público do Gerenciador de certificados, você precisa conhecer os seguintes conceitos:

• Cliente ACME. Um cliente do Ambiente de gerenciamento automático de certificados (ACME) é um cliente de gerenciamento de certificados que usa o protocolo ACME. Seu cliente ACME precisa oferecer suporte à vinculação de conta externa (EAB) para funcionar com a AC pública.

• Vinculação de conta externa (EAB). É necessário vincular cada conta do ACME que você está usando com a AC pública do Certificate Manager ao projeto do Google Cloud de destino usando a vinculação de conta externa. Para fazer isso, registre cada conta do ACME usando um segredo vinculado ao projeto correspondente do Google Cloud. Para mais informações, consulte Vinculação de conta externa.

Desafios de ACs públicas

Quando você usa uma AC pública para solicitar um certificado, o Gerenciador de certificados pede que você prove seu controle sobre os domínios listados nesse certificado. Você pode provar o controle do domínio resolvendo desafios. A AC pública autoriza os nomes de domínio depois que você prova o controle dos domínios de destino.

Depois de receber as autorizações necessárias, você poderá solicitar certificados válidos apenas por um período específico. Após esse período, será necessário validar novamente o nome de domínio resolvendo um dos três tipos de desafio para continuar solicitando certificados.

Tipos de desafio

A AC pública oferece suporte aos seguintes tipos de desafios:

• Desafio HTTP. Esse desafio envolve a criação de um arquivo em um local conhecido em um servidor HTTP (porta 80) para que a AC pública o recupere e verifique. Para mais informações, consulte Desafio HTTP.

• TLS-negociação do protocolo da camada de aplicativo (ALPN, na sigla em inglês). Requer que um servidor forneça um certificado específico durante uma negociação TLS na porta 443 para comprovar o controle de um domínio. Para mais informações, consulte Extensão de desafio ACME TLS-ALPN.

• Desafio de DNS. Requer a adição de um registro DNS específico em um local definido para comprovar o controle sobre um domínio. Para mais informações, consulte Verificação DNS.

Se você usar o desafio HTTP ou o desafio TLS-ALPN para validar um nome de domínio, o cliente só poderá solicitar que os nomes de domínio validados sejam incluídos em um certificado. Se você usar a verificação de DNS, o cliente também poderá solicitar que subdomínios desse nome de domínio sejam incluídos em um certificado.

Por exemplo, se você validar *.myorg.example.com usando a verificação DNS, subdomain1.myorg.example.com e subdomain2.myorg.example.com serão automaticamente cobertos pelo certificado curinga. No entanto, se você validar myorg.example.com usando um desafio HTTP ou TLS-ALPN, o cliente só poderá solicitar a inclusão de myorg.example.com no certificado, e não será possível validar *.myorg.example.com usando os desafios não DNS.

Lógica de desafio da solução

A lógica do desafio da AC pública é a seguinte:

1. A AC pública fornece um token aleatório.
2. O cliente disponibiliza o token em um local bem definido. O local depende do desafio.
3. O cliente indica à AC pública que preparou a desafiadora.
4. A AC pública verifica se o token presente no local esperado corresponde ao valor esperado.

O nome de domínio será autorizado após a conclusão desse processo. O cliente pode solicitar um certificado com esse nome de domínio. Você precisa resolver apenas um desafio por nome de domínio.

Limitações da AC pública

Esta versão da AC pública não oferece suporte a domínios punycode.

A seguir

• Solicitar um certificado usando uma AC pública (tutorial)