Mit dem Zertifikatmanager können Sie Transport Layer erwerben und verwalten Sicherheitszertifikate (TLS) zur Verwendung mit den folgenden Load-Balancer-Ressourcen:
Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
- Regionsübergreifender interner Application Load Balancer
Ziel-SSL-Proxys, die von Proxy-Network Load Balancern verwendet werden:
- Globaler externer Proxy-Network Load Balancer
- Klassischer Proxy-Network Load Balancer
Mit dem Zertifikatmanager können Sie auch regionale, selbstverwaltete und regionale, von Google verwaltete Zertifikate Sichere Web-Proxy-Proxys
Um den Zertifikatmanager zu verwenden, muss Ihr Load-Balancer kompatibel mit der entsprechenden Netzwerkdienststufe. Für eine umfassende Aufschlüsselung der Load-Balancer-Typen und ihrer jeweiligen Netzwerke Unterstützung für Dienststufen finden Sie in der Übersicht über Google Cloud-Load-Balancer.
Sie können von Google verwaltete Zertifikate automatisch ausstellen und verlängern, indem Sie Zertifikatmanager. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, als auf von Google zugelassene öffentliche Zertifizierungsstellen (CAs) angewiesen sind, Ihrer Zertifikate können Sie Zertifikatmanager so konfigurieren, dass ein CA-Pool aus der Certificate Authority Service als Zertifikatsaussteller.
Sie können die folgenden Arten von Zertifikaten auch manuell hochladen:
- Von Drittanbieter-CAs Ihrer Wahl ausgestellte Zertifikate
- Zertifikate, die von Zertifizierungsstellen ausgestellt wurden, die Ihrer Kontrolle unterliegen
- Selbstsignierte Zertifikate, wie in Privaten Schlüssel und Zertifikat erstellen
Mit dem Zertifikatmanager werden Daten sicher gespeichert und bereitgestellt Zertifikate für Ihre ausgewählten Proxys bereitstellen, sodass Sie Zertifikate in damit keine Ausfallzeiten während der Migration auftreten.
Mit dem Zertifikatmanager können Sie bis zu einer Million Zertifikate pro Load-Balancer. Informationen zu Standardkontingenten und wie sie erhöht werden können, Kontingente und Limits:
Mit dem flexiblen Zuordnungsmechanismus des Zertifikatmanagers können Sie die Zuweisung von Zertifikaten zu Domainnamen in Ihrer Google Cloud steuern in großem Maßstab zu ermöglichen. Sie können eine größere Anzahl von Zertifikaten verwalten und bereitstellen als bei Cloud Load Balancing.
Der Zertifikatmanager kann auch als öffentliche Zertifizierungsstelle fungieren, weit vertrauenswürdige X.509-Zertifikate nach der Validierung bereitstellen und bereitstellen dass der Zertifikatsanforderer die Domains verwaltet. Mit dem Zertifikatmanager können Sie direkt und programmatisch öffentlich vertrauenswürdige TLS-Zertifikate anfordern, die sich bereits im Stammverzeichnis von Trust Stores, die von den gängigsten Browsern, Betriebssystemen und Anwendungen verwendet werden. Mit diesen TLS-Zertifikaten können Sie das Internet authentifizieren und verschlüsseln Zugriffe. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle:
Sie haben die Möglichkeit, für Ihren Load-Balancer die gegenseitige TLS-Authentifizierung (mTLS) zu verwenden. Weitere Informationen Weitere Informationen finden Sie unter Gegenseitige TLS-Authentifizierung in der Dokumentation zu Cloud Load Balancing.
Wann der Zertifikatmanager verwendet wird
Der Zertifikatmanager hat die folgenden Vorteile gegenüber der direkten Zuweisung TLS (SSL)-Zertifikate an Ihren Load-Balancer senden. Zertifikatmanager können Sie Folgendes tun:
- Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen steuern Dies ist bei Verwendung von Cloud Load Balancing.
- Mit der Google Cloud CLI alle Zertifikate auf einheitliche Weise verwalten oder die Certificate Manager API.
- Weisen Sie mehr als 15 Zertifikate pro Zielproxy zu. Der Zertifikatmanager unterstützt bis zu eine Million Zertifikate pro Load-Balancer.
- Von Google verwaltete Zertifikate innerhalb von Google Cloud
- CA-Pool aus dem Zertifizierungsstellendienst als Zertifikatsaussteller verwenden für von Google verwaltete Zertifikate anstelle der Zertifizierungsstellen von Google oder Let's Encrypt.
- Verwenden Sie die DNS-basierte Bestätigung der Domaininhaberschaft für von Google verwaltete Zertifikate in der auf Load-Balancer basierenden Methode, die von Cloud Load Balancing unterstützt wird.
- Verwenden Sie von Google verwaltete Zertifikate mit DNS-Autorisierung für Platzhalter-Domainnamen, z. B.
*.myorg.example.comVon Google verwaltete Zertifikate mit Load-Balancer-Autorisierung werden nicht unterstützt Domainnamen mit Platzhaltern. - Von Google verwaltete Zertifikate im Voraus bereitstellen, um Ausfallzeiten zu vermeiden von einem anderen Anbieter zu Google Cloud migrieren.
- Verwenden Sie Cloud Monitoring, um die Weitergabe und den Ablauf von Zertifikaten zu überwachen.
Beschränkungen
Für den Zertifikatmanager gelten folgende Einschränkungen:
- Für die Ausstellung von öffentlich vertrauenswürdigen, von Google verwalteten Zertifikaten: Der Zertifikatmanager unterstützt nur die Google-Zertifizierungsstelle und die Zertifizierungsstelle verschlüsseln.
- Für die Ausstellung privat vertrauenswürdiger Zertifikate, die von Google verwaltet werden, Certificate Manager unterstützt nur Certificate Authority Service.
- Die Anzahl der Domains (Alternative Antragstellernamen) für von Google verwaltete Zertifikate ist bei Verwendung der DNS-Autorisierung und bei Verwendung der Load-Balancer-Autorisierung auf maximal fünf.
- Sie können maximal vier Zertifikate mit einem einzelnen Zertifikat verknüpfen -Karteneintrag.
- Für von Google verwaltete Zertifikate gelten Einschränkungen hinsichtlich der Domainnamen, die sie unterstützen können. Weitere Informationen zur Länge siehe Längenbeschränkungen für Domainnamen Von Google verwaltet Zertifikate.
- Zertifikate mit dem Bereich
ALL_REGIONSunterstützen keinen Load-Balancer Autorisierung. - Die folgenden Einschränkungen gelten für Konfigurationsressourcen der Vertrauensstellung:
<ph type="x-smartling-placeholder">
- </ph>
- Eine Konfigurationsressource der Vertrauensstellung kann einen einzelnen Trust Store enthalten.
- Ein Trust Store kann bis zu 100 Trust Anchors enthalten.
- Ein Trust Store kann bis zu 100 CA-Zwischenzertifikate enthalten.