Mit dem Zertifikatmanager können Sie TLS-Zertifikate (Transport Layer Security) für die Verwendung mit den folgenden Load Balancer-Ressourcen erwerben und verwalten:
Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
- Regionsübergreifender interner Application Load Balancer
Ziel-SSL-Proxys, die von Proxy-Network-Load Balancern verwendet werden:
- Globaler externer Proxy-Network Load Balancer
- Klassischer Proxy-Network Load Balancer
Mit Certificate Manager können Sie auch regionale selbstverwaltete und regionale von Google verwaltete Zertifikate auf Secure Web Proxy-Proxys bereitstellen.
Damit Sie Certificate Manager verwenden können, muss Ihr Load Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load Balancer-Typen und ihrer jeweiligen Unterstützung durch Netzwerkdienstebenen finden Sie unter Zusammenfassung der Google Cloud Load Balancer.
Mit Certificate Manager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt sich bei der Ausstellung Ihrer Zertifikate auf von Google genehmigte öffentliche Zertifizierungsstellen zu verlassen, können Sie den Certificate Manager so konfigurieren, dass stattdessen ein CA-Pool aus dem Certificate Authority Service als Zertifikataussteller verwendet wird.
Sie können auch die folgenden Arten von Zertifikaten manuell hochladen:
- Von Drittanbieter-Zertifizierungsstellen Ihrer Wahl ausgestellte Zertifikate
- Von Ihnen verwaltete Zertifizierungsstellen
- Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben
Der Zertifikatsmanager speichert Zertifikate sicher und stellt sie auf Ihren ausgewählten Proxys bereit. So können Sie Zertifikate im Voraus bereitstellen und Ausfallzeiten bei Migrationen vermeiden.
Mit Certificate Manager können Sie bis zu eine Million Zertifikate pro Load Balancer bereitstellen. Informationen zu Standardkontingenten und zur Erhöhung von Kontingenten finden Sie unter Kontingente und Limits.
Mit dem flexiblen Zuordnungsmechanismus des Zertifikatsmanagers können Sie die Zuweisung von Zertifikaten zu Domainnamen in Ihrer Umgebung in großem Umfang genau steuern. Google CloudSie können eine größere Anzahl von Zertifikaten verwalten und bereitstellen als mit Cloud Load Balancing.
Certificate Manager kann auch als öffentliche Zertifizierungsstelle fungieren, um allgemein vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem überprüft wurde, ob der Antragsteller auf die Domains zugreifen kann. Mit dem Zertifikatmanager können Sie öffentlich vertrauenswürdige TLS-Zertifikate direkt und programmatisch anfordern, die sich bereits im Stammverzeichnis von Trust Stores befinden, die von gängigen Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate verwenden, um den Internetverkehr zu authentifizieren und zu verschlüsseln. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.
Sie können die gegenseitige TLS-Authentifizierung (mTLS) auf Ihrem Load Balancer verwenden. Weitere Informationen finden Sie in der Cloud Load Balancing-Dokumentation unter Gegenseitige TLS-Authentifizierung.
Wann sollte der Zertifikatsmanager verwendet werden?
Der Zertifikatmanager bietet gegenüber der direkten Zuweisung von TLS-(SSL-)Zertifikaten an Ihren Load Balancer folgende Vorteile: Mit dem Zertifikatmanager haben Sie folgende Möglichkeiten:
- Sie können die Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen auf einer sehr detaillierten Ebene steuern, die bei der Verwendung von Cloud Load Balancing nicht verfügbar ist.
- Mit der Google Cloud CLI oder der Certificate Manager API können Sie alle Ihre Zertifikate auf einheitliche Weise verwalten.
- Mehr als 15 Zertifikate pro Zielproxy zuweisen Certificate Manager unterstützt bis zu eine Million Zertifikate pro Load Balancer.
- Von Google verwaltete Zertifikate innerhalb vonGoogle Cloud automatisch abrufen und verlängern
- Verwenden Sie einen CA-Pool aus dem CA-Dienst als Zertifikataussteller für von Google verwaltete Zertifikate anstelle der Google- oder Let's Encrypt-Zertifizierungsstellen.
- Verwenden Sie die DNS-basierte Bestätigung der Domaininhaberschaft für von Google verwaltete Zertifikate zusätzlich zur von Cloud Load Balancing unterstützten Load Balancer-basierten Methode.
- Verwenden Sie von Google verwaltete Zertifikate mit DNS-Autorisierung für Platzhalter-Domainnamen, z. B.
*.myorg.example.com. Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung unterstützen keine Domains mit Platzhaltern. - Von Google verwaltete Zertifikate im Voraus bereitstellen, um eine Migration von einem anderen Anbieter zu Google Cloudohne Ausfallzeiten zu ermöglichen
- Verwenden Sie Cloud Monitoring, um die Weitergabe und das Ablaufen von Zertifikaten zu überwachen.
Beschränkungen
Für Certificate Manager gelten die folgenden Einschränkungen:
- Für die Ausstellung öffentlich vertrauenswürdiger von Google verwalteter Zertifikate unterstützt der Zertifikatmanager nur die Google CA und die Let's Encrypt CA.
- Für die Ausstellung von privat vertrauenswürdigen von Google verwalteten Zertifikaten unterstützt der Zertifikatmanager nur den Certificate Authority Service.
- Die Anzahl der Domains (Subject Alternative Names) für von Google verwaltete Zertifikate ist bei Verwendung der DNS-Autorisierung auf maximal 100 und bei Verwendung der Load Balancer-Autorisierung auf maximal fünf beschränkt.
- Sie können einem einzelnen Eintrag der Zertifikatszuordnung maximal vier Zertifikate zuordnen.
- Für von Google verwaltete Zertifikate gelten Einschränkungen bei der Länge der unterstützten Domainnamen. Weitere Informationen zu den Längenbeschränkungen von Domainnamen finden Sie unter Einschränkungen bei der Länge von Domainnamen für von Google verwaltete Zertifikate.
- Zertifikate mit dem Umfang
ALL_REGIONSunterstützen keine Load Balancer-Autorisierung. - Für Ressourcen für Vertrauenseinstellungen gelten die folgenden Einschränkungen:
- Eine Vertrauenskonfigurationsressource kann einen einzelnen Vertrauensspeicher enthalten.
- Ein Trust Store kann bis zu 100 Trust Anchors enthalten.
- Ein Trust Store kann bis zu 100 Zwischen-CA-Zertifikate enthalten.