Cómo funciona Certificate Manager

Gestor de certificados usa un mecanismo de asignación flexible que te ofrece un control granular sobre los certificados que puedes asignar y cómo servirlos para cada nombre de dominio de tu entorno.

En el siguiente diagrama se muestran las relaciones entre los componentes de Certificate Manager de un proxy de destino típico especificado en una regla de reenvío de un balanceador de carga:

Relación entre los componentes de Certificate Manager y el proxy de destino de un balanceador de carga.
Entidades de Certificate Manager (haz clic en la imagen para ampliarla).

Para obtener más información sobre los componentes de Certificate Manager, consulta Componentes principales.

Lógica de selección de certificados

A grandes rasgos, el balanceador de carga selecciona un certificado de la siguiente manera:

  1. Un cliente inicia un protocolo de enlace, que es una solicitud de conexión al servicio que hay detrás del balanceador de carga.

    Durante el handshake, el cliente proporciona al balanceador de carga una lista de algoritmos criptográficos que utiliza para completar el handshake y, opcionalmente, el nombre de host al que intenta acceder. Este nombre de host también se denomina "indicador del nombre del servidor" (SNI).

  2. Al recibir la solicitud, el balanceador de carga selecciona un certificado para completar el handshake seguro.

    • Coincidencia exacta del nombre de host: si el nombre de host proporcionado por el cliente coincide exactamente con una entrada de nombre de host en el mapa de certificados aprovisionado, el balanceador de carga selecciona el certificado correspondiente.

    • Coincidencia de nombre de host comodín: si el nombre de host del cliente no coincide con ninguna de las entradas de nombre de host del mapa de certificados aprovisionado, pero sí coincide con un nombre de host comodín de una entrada del mapa de certificados, el balanceador de carga selecciona el certificado correspondiente.

      Por ejemplo, una entrada comodín configurada como *.myorg.example.com abarca los subdominios de primer nivel del dominio myorg.example.com. La entrada comodín no abarca los subdominios de nivel inferior, como sub.subdomain.myorg.example.com.

    • No hay ninguna coincidencia exacta o con comodín para el nombre de host: si el nombre de host del cliente no coincide con ninguna de las entradas de nombre de host del mapa de certificados aprovisionado, el balanceador de carga selecciona la entrada del mapa de certificados principal.

    • Error de handshake: si el cliente no ha proporcionado un nombre de host y no se ha configurado la entrada del mapa de certificados principal, el handshake falla.

Prioridad del certificado

Al seleccionar un certificado, el balanceador de carga los prioriza en función de los siguientes factores:

  • Tipo de certificado. Si el cliente admite los certificados ECDSA, el balanceador de carga les da prioridad sobre los certificados RSA. Si el cliente no admite certificados ECDSA, el balanceador de carga sirve un certificado RSA.
  • Tamaño del certificado. Como los certificados más pequeños ocupan menos ancho de banda, el balanceador de carga prioriza los certificados más pequeños sobre los más grandes.

Nombres de dominio comodín

Los nombres de dominio con comodín se rigen por las siguientes reglas:

  • Solo los certificados gestionados por Google con autorización de DNS y los certificados gestionados por Google con el Servicio de Autoridades de Certificación admiten nombres de dominio comodín. Los certificados gestionados por Google con autorización de balanceador de carga no admiten nombres de dominio comodín.
  • Una concordancia exacta tiene prioridad sobre un comodín cuando ambos se definen en la entrada. Por ejemplo, si has configurado entradas de mapa de certificados para www.myorg.example.com y *.myorg.example.com, una solicitud de conexión a www.myorg.example.com siempre seleccionará la entrada de www.myorg.example.com, aunque también exista una entrada para *.myorg.example.com.
  • Los nombres de dominio con comodines solo coinciden con el primer nivel de subdominios. Por ejemplo, una solicitud de conexión para host1.myorg.example.com selecciona una entrada de mapa de certificados para *.myorg.example.com, pero no para host1.hosts.myorg.example.com.

Renovación de certificados

Los certificados gestionados por Google se renuevan automáticamente. Debes renovar los certificados autogestionados manualmente. Si es necesario, puede configurar alertas de Cloud Logging para los certificados antes de que caduquen. Para obtener más información, consulta Configurar alertas de registro.

Siguientes pasos