Mit Certificate Manager können Sie TLS-Zertifikate (Transport Layer Security) für die Verwendung mit den folgenden Load Balancer-Ressourcen erwerben und verwalten:
Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
- Regionsübergreifender interner Application Load Balancer
Ziel-SSL-Proxys, die von Proxy-Network-Load Balancern verwendet werden:
- Globaler externer Proxy-Network Load Balancer
- Klassischer Proxy-Network Load Balancer
Mit dem Zertifikatmanager können Sie auch regionale, selbstverwaltete und regionale, von Google verwaltete Zertifikate Sichere Web-Proxy-Proxys
Damit Sie Certificate Manager verwenden können, muss Ihr Load Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load Balancer-Typen und ihrer jeweiligen Unterstützung durch Netzwerkdienstebenen finden Sie unter Zusammenfassung der Load Balancer von Google Cloud.
Mit Certificate Manager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt sich bei der Ausstellung Ihrer Zertifikate auf von Google genehmigte öffentliche Zertifizierungsstellen zu verlassen, können Sie den Certificate Manager so konfigurieren, dass stattdessen ein CA-Pool aus dem Certificate Authority Service als Zertifikataussteller verwendet wird.
Sie können die folgenden Arten von Zertifikaten auch manuell hochladen:
- Von Drittanbieter-CAs Ihrer Wahl ausgestellte Zertifikate
- Zertifikate, die von Zertifizierungsstellen ausgestellt wurden, die Ihrer Kontrolle unterliegen
- Selbstsignierte Zertifikate, wie in Privaten Schlüssel und Zertifikat erstellen
Mit dem Zertifikatmanager werden Daten sicher gespeichert und bereitgestellt Zertifikate für Ihre ausgewählten Proxys bereitstellen, sodass Sie Zertifikate in damit keine Ausfallzeiten während der Migration auftreten.
Mit Certificate Manager können Sie bis zu eine Million Zertifikate pro Load Balancer bereitstellen. Informationen zu Standardkontingenten und wie sie erhöht werden können, Kontingente und Limits:
Mit dem flexiblen Zuordnungsmechanismus des Zertifikatmanagers können Sie die Zuweisung von Zertifikaten zu Domainnamen in Ihrer Google Cloud steuern in großem Maßstab zu ermöglichen. Sie können eine größere Anzahl von Zertifikaten verwalten und bereitstellen als bei Cloud Load Balancing.
Der Zertifikatmanager kann auch als öffentliche Zertifizierungsstelle fungieren, weit vertrauenswürdige X.509-Zertifikate nach der Validierung bereitstellen und bereitstellen dass der Zertifikatsanforderer die Domains verwaltet. Mit dem Zertifikatmanager können Sie öffentlich vertrauenswürdige TLS-Zertifikate direkt und programmatisch anfordern, die sich bereits im Stammverzeichnis von Trust Stores befinden, die von gängigen Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate verwenden, um den Internetverkehr zu authentifizieren und zu verschlüsseln. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.
Sie können die gegenseitige TLS-Authentifizierung (mTLS) auf Ihrem Load Balancer verwenden. Weitere Informationen Weitere Informationen finden Sie unter Gegenseitige TLS-Authentifizierung in der Dokumentation zu Cloud Load Balancing.
Wann der Zertifikatmanager verwendet wird
Der Zertifikatmanager hat die folgenden Vorteile gegenüber der direkten Zuweisung TLS (SSL)-Zertifikate an Ihren Load-Balancer senden. Mit dem Zertifikatmanager haben Sie folgende Möglichkeiten:
- Sie können die Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen auf einer sehr detaillierten Ebene steuern, die bei der Verwendung von Cloud Load Balancing nicht verfügbar ist.
- Mit der Google Cloud CLI alle Zertifikate auf einheitliche Weise verwalten oder die Certificate Manager API.
- Mehr als 15 Zertifikate pro Zielproxy zuweisen Certificate Manager unterstützt bis zu eine Million Zertifikate pro Load Balancer.
- Von Google verwaltete Zertifikate in Google Cloud automatisch abrufen und verlängern.
- CA-Pool aus dem CA-Dienst als Zertifikatsaussteller verwenden für von Google verwaltete Zertifikate anstelle der Zertifizierungsstellen von Google oder Let's Encrypt.
- Verwenden Sie die DNS-basierte Bestätigung der Domaininhaberschaft für von Google verwaltete Zertifikate in der auf Load-Balancer basierenden Methode, die von Cloud Load Balancing unterstützt wird.
- Verwenden Sie von Google verwaltete Zertifikate mit DNS-Autorisierung für Platzhalter-Domainnamen, z. B.
*.myorg.example.com. Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung unterstützen keine Domains mit Platzhaltern. - Von Google verwaltete Zertifikate im Voraus bereitstellen, um Ausfallzeiten zu vermeiden von einem anderen Anbieter zu Google Cloud migrieren.
- Verwenden Sie Cloud Monitoring, um die Weitergabe und den Ablauf von Zertifikaten zu überwachen.
Beschränkungen
Für Certificate Manager gelten die folgenden Einschränkungen:
- Für die Ausstellung von öffentlich vertrauenswürdigen, von Google verwalteten Zertifikaten: Der Zertifikatmanager unterstützt nur die Google-Zertifizierungsstelle und die Zertifizierungsstelle verschlüsseln.
- Für die Ausstellung von privat vertrauenswürdigen von Google verwalteten Zertifikaten unterstützt der Zertifikatmanager nur den Certificate Authority Service.
- Die Anzahl der Domains (Alternative Antragstellernamen) für von Google verwaltete Zertifikate ist bei Verwendung der DNS-Autorisierung und bei Verwendung der Load-Balancer-Autorisierung auf maximal fünf.
- Sie können einem einzelnen Eintrag der Zertifikatszuordnung maximal vier Zertifikate zuordnen.
- Für von Google verwaltete Zertifikate gelten Einschränkungen bei der Länge der unterstützten Domainnamen. Weitere Informationen zu den Längenbeschränkungen von Domainnamen finden Sie unter Einschränkungen bei der Länge von Domainnamen für von Google verwaltete Zertifikate.
- Zertifikate mit dem Bereich
ALL_REGIONSunterstützen keinen Load-Balancer Autorisierung. - Für Ressourcen für Vertrauenseinstellungen gelten die folgenden Einschränkungen:
- Eine Vertrauenskonfigurationsressource kann einen einzelnen Vertrauensspeicher enthalten.
- Ein Trust Store kann bis zu 100 Trust Anchors enthalten.
- Ein Trust Store kann bis zu 100 Zwischen-CA-Zertifikate enthalten.