Esta página oferece uma vista geral dos componentes e conceitos principais do Gestor de certificados.
Certificados
Um certificado representa um único certificado X.509 Transport Layer Security (TLS) (SSL) emitido para nomes de domínios específicos ou carateres universais de domínios.
O Gestor de certificados suporta os seguintes tipos de certificados:
- Certificados geridos pela Google: certificados que a Google Google Cloud obtém e gere por si. Quando é emitido ou renovado um novo certificado gerido pela Google, o Gestor de certificados usa uma chave privada gerada recentemente para o certificado.
- Certificados autogeridos: certificados que obtém, aprovisiona e renova autonomamente.
Certificados geridos pela Google
Os certificados geridos pela Google são certificados TLS que a Google Google Cloud obtém e gere por si. O Gestor de certificados permite-lhe criar, gerir e renovar automaticamente os seus certificados geridos pela Google. O Gestor de certificados também lhe permite validar a propriedade do domínio através da autorização baseada no equilibrador de carga ou da autorização baseada em DNS.
O Gestor de certificados suporta a autoridade de certificação (AC) pública e a AC Let's Encrypt. Por predefinição, a AC pública emite certificados geridos pela Google. Se não conseguir obter um certificado da AC pública para um domínio específico, o Gestor de certificados recorre à AC Let's Encrypt. Isto pode acontecer em situações em que a AC pública se recusa a emitir um certificado para um domínio ou o seu registo de autorização da autoridade de certificação (AAC) proíbe explicitamente a AC pública de emitir certificados para esse domínio. Para mais informações sobre como restringir as ACs que podem emitir certificados para os seus domínios, consulte o artigo Especifique as ACs que podem emitir o seu certificado gerido pela Google.
Alguns pontos importantes a ter em conta quando usar certificados geridos pela Google com o Gestor de certificados:
- O Certificate Manager suporta certificados geridos pela Google RSA.
- Os certificados geridos pela Google regionais só suportam a autorização baseada em DNS e obtêm certificados da AC pública.
- A utilização de certificados geridos pela Google como certificados de cliente para TLS mútuo não é suportada.
- A validade predefinida dos certificados públicos geridos pela Google é de 90 dias para todos os âmbitos, exceto
EDGE_CACHE, que tem uma validade de 30 dias. Não é possível alterar a validade dos certificados geridos pela Google públicos.
Certificados públicos e privados
O Gestor de certificados pode gerir certificados públicos e privados. O Gestor de certificados recebe certificados públicos, que frequentemente protegem serviços públicos, da AC pública. Os principais navegadores, sistemas operativos e aplicações reconhecem a AC pública como uma raiz de confiança. O Gestor de certificados recebe certificados privados, que muitas vezes protegem serviços privados, do serviço de AC.
Certificados autogeridos
Se não puder usar certificados geridos pela Google devido aos requisitos da sua empresa, pode carregar certificados emitidos por ACs externas juntamente com as respetivas chaves associadas. Tem de emitir e renovar estes certificados autogeridos manualmente.
Tipos de chaves suportados
Os balanceadores de carga suportam certificados que usam chaves privadas de diferentes tipos de chaves. A tabela seguinte mostra o suporte de tipo de chave consoante os certificados sejam autogeridos ou geridos pela Google.|
Tipo de certificado SSL arrow_forward Tipo de chave arrow_downward |
Certificados SSL do Gestor de certificados | ||
|---|---|---|---|
| Global e regional | |||
| Autogerido | Gerido pela Google e fidedigno publicamente | Gerido pela Google e fidedigno de forma privada | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizações de domínio
O Gestor de certificados permite-lhe comprovar a propriedade dos domínios para os quais quer emitir certificados geridos pela Google de uma das seguintes formas:
Autorização do balanceador de carga: implemente o certificado diretamente num balanceador de carga suportado sem criar um registo DNS.
Autorização de DNS: implemente o certificado diretamente num equilibrador de carga suportado após criar registos de DNS dedicados para validação da propriedade do domínio.
Para mais informações, consulte o artigo Tipos de autorização de domínio para certificados geridos pela Google.
Não precisa de autorizações de domínio para certificados autogeridos.
Mapeamentos de certificados
Um mapa de certificados faz referência a uma ou mais entradas de mapas de certificados que atribuem certificados específicos a nomes de anfitriões específicos. As entradas do mapa de certificados também definem a lógica de seleção que o balanceador de carga segue ao estabelecer ligações de clientes. Pode associar um mapa de certificados a vários proxies de destino para reutilização em vários equilibradores de carga.
Se um cliente solicitar um nome de anfitrião especificado num mapa de certificados, o equilibrador de carga publica os certificados mapeados para esse nome de anfitrião. Caso contrário, o balanceador de carga publica o certificado principal, que é o primeiro certificado apresentado para um proxy de destino. Para mais informações, consulte o artigo Como funciona o Gestor de certificados.
Os seguintes balanceadores de carga suportam mapas de certificados:
- Balanceador de carga de aplicações externo global
- Balanceador de carga de rede de proxy externo global
Para mais informações sobre como criar e gerir mapas de certificados, consulte o artigo Faça a gestão de mapas de certificados.
Entradas do mapa de certificados
Uma entrada do mapa de certificados é uma lista de certificados que são publicados para um nome de domínio específico. Pode definir diferentes conjuntos de certificados para o mesmo domínio. Por exemplo, pode carregar um certificado ECDSA e um certificado RSA e mapeá-los para o mesmo nome de domínio.
Quando um cliente se liga a um nome de domínio, o equilibrador de carga negoceia o tipo de certificado a publicar para o cliente durante o handshake.
Pode associar um máximo de quatro certificados a uma única entrada do mapeamento de certificados.
Para mais informações sobre como criar e gerir entradas de mapeamento de certificados, consulte o artigo Faça a gestão das entradas de mapeamento de certificados.
Configurações de confiança
Uma configuração de confiança é um recurso que representa a configuração da sua infraestrutura de chave pública (PKI) no Certificate Manager para utilização em cenários de autenticação TLS mútua. Encapsula uma única loja de confiança, que, por sua vez, encapsula uma âncora de confiança e, opcionalmente, um ou mais certificados intermédios.
Para saber mais acerca da autenticação TLS mútua (mTLS), consulte a vista geral do TLS mútua na documentação do Cloud Load Balancing.
Para mais informações sobre as configurações de confiança e os respetivos componentes, consulte o artigo Faça a gestão das configurações de confiança.
Repositórios fidedignos
Um repositório fidedigno representa a configuração secreta fidedigna no Certificate Manager para utilização em cenários de autenticação TLS mútua. Uma loja de confiança encapsula uma única âncora de confiança e, opcionalmente, um ou mais certificados intermédios.
Aplicam-se as seguintes limitações aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único arquivo de confiança.
- Um repositório fidedigno pode conter até 200 âncoras de fidedignidade e até 100 certificados de CA intermediários.
Âncoras de fidedignidade
Uma âncora de confiança representa um único certificado de raiz para utilização em cenários de autenticação TLS mútua. Uma âncora de fidedignidade está encapsulada num repositório fidedigno.
Certificados intermédios
Um certificado intermédio é um certificado assinado por um certificado de raiz ou outro certificado intermédio na loja de confiança. Os certificados intermédios são usados para a autenticação TLS mútua.
Se tiver certificados intermédios, pode encapsular um ou mais certificados intermédios num repositório fidedigno, consoante a configuração da PKI. Além dos certificados intermédios existentes, a configuração fidedigna inclui todos os certificados intermédios como parte da avaliação fidedigna para todos os pedidos de ligação.
Certificados que requerem uma lista de autorizações
Para permitir que os clientes se autentiquem com um certificado autoassinado, expirado ou inválido, adicione o certificado ao campo allowlistedCertificates da configuração de confiança. Também pode adicionar o certificado se não tiver acesso aos certificados de raiz e intermédios.
Não precisa de uma loja de confiança para adicionar um certificado a uma lista de autorizações.
Quando adiciona um certificado à lista de autorizações, o Gestor de certificados considera o certificado válido se este cumprir as seguintes condições:
- O certificado é analisável.
- O cliente prova a sua posse da chave privada do certificado.
- As restrições no campo Nome alternativo do requerente (SAN) são cumpridas.
Configurações de emissão de certificados
Uma configuração de emissão de certificados é um recurso que permite ao gestor de certificados usar um conjunto de ACs da sua própria instância do Certificate Authority Service para emitir certificados geridos pela Google. Uma configuração de emissão de certificados permite-lhe especificar parâmetros para a emissão e a expiração de certificados, bem como o algoritmo de chave para os certificados emitidos.
Para mais informações sobre como criar e gerir configurações de emissão de certificados, consulte o artigo Faça a gestão dos recursos de configuração de emissão de certificados.