El Administrador de certificados te permite adquirir y administrar la capa de transporte Certificados de seguridad (TLS) para usar con los siguientes recursos del balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de aplicaciones interno entre regiones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:
- Balanceador de cargas de red del proxy externo global
- Balanceador de cargas de red del proxy clásico
El Administrador de certificados también te permite implementar y regionales administrados por Google en Proxies de proxy web seguro
Para usar el Administrador de certificados, el balanceador de cargas debe estar compatible con el Nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y sus respectivas redes asistencia a nivel de servicio, consulta el Resumen de balanceadores de cargas de Google Cloud.
Puedes emitir y renovar automáticamente certificados administrados por Google con Administrador de certificados. Si quieres usar tu propia cadena de confianza que depender de autoridades certificadoras (AC) públicas aprobadas por Google para que tus certificados, puedes configurar el Administrador de certificados para usar un grupo de AC del Certificate Authority Service como el emisor del certificado.
También puedes subir manualmente los siguientes tipos de certificados:
- Certificados emitidos por las AC de terceros que elijas
- Certificados emitidos por las AC que usted controla
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
El Administrador de certificados almacena e implementa de manera segura certificados a los proxies seleccionados, lo que te permite aprovisionar certificados y ayuda a garantizar un tiempo de inactividad cero durante las migraciones.
Con el Administrador de certificados, puedes implementar hasta un millón certificados por balanceador de cargas. Para obtener información sobre las cuotas cómo aumentarlas, observa Cuotas y límites
El mecanismo de asignación flexible del Administrador de certificados te permite controlar la asignación de certificados a nombres de dominio en tu cuenta de Google Cloud en un entorno de producción a gran escala. Puedes administrar y entregar grandes cantidades de certificados que con Cloud Load Balancing.
El Administrador de certificados también puede actuar como una AC pública para Proporcionar e implementar certificados X.509 de amplia confianza tras la validación que el solicitante de certificados controla los dominios. El Administrador de certificados te permite de forma directa y programática solicitar certificados TLS de confianza pública que ya se encuentran en la raíz del almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar datos tráfico. Para obtener más información, consulta AC pública.
Tienes la opción de usar la autenticación TLS mutua (mTLS) en el balanceador de cargas. Para ver más consulta Autenticación mutua de TLS en la documentación de Cloud Load Balancing.
Cuándo usar el Administrador de certificados
El Administrador de certificados tiene las siguientes ventajas sobre la asignación directa certificados TLS (SSL) para tu balanceador de cargas. Administrador de certificados te permite hacer lo siguiente:
- Controla la asignación y selección de certificados según los nombres de host a un nivel muy detallado que no esté disponible cuando se use Cloud Load Balancing.
- Administra todos tus certificados de forma unificada con Google Cloud CLI o la API de Certificate Manager.
- Asigna más de 15 certificados por proxy de destino. El Administrador de certificados admite hasta un millón de certificados por balanceador de cargas HTTP(S) global externo.
- Adquiere y renueva automáticamente los certificados administrados por Google en en Google Cloud.
- Usar un grupo de AC del servicio de AC como emisor del certificado en lugar de las AC de Google o Let's Encrypt.
- Usar la verificación de propiedad de dominio basada en DNS para certificados administrados por Google en además del método basado en balanceador de cargas que admite Cloud Load Balancing.
- Usar certificados administrados por Google con autorización de DNS para nombres de dominio comodín, por ejemplo,
*.myorg.example.com. Los certificados administrados por Google con autorización del balanceador de cargas no son compatibles comodines en el nombre de dominio. - Aprovisiona certificados administrados por Google por adelantado, lo que permite un tiempo de inactividad cero la migración de otro proveedor a Google Cloud.
- Usar Cloud Monitoring para supervisar la propagación y el vencimiento de los certificados
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- Para emitir certificados de confianza pública administrados por Google, El Administrador de certificados solo admite la AC de Google y Encripta CA.
- Para emitir certificados de confianza privados administrados por Google, El Administrador de certificados solo es compatible con Certificate Authority Service.
- La cantidad de dominios (Nombres alternativos del asunto) para los que administra Google certificados se limita a un máximo de 100 cuando se usan a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
- Puedes asociar un máximo de cuatro certificados a un solo certificado entrada al mapa.
- Para los certificados administrados por Google, existen limitaciones en la longitud de nombres de dominio que puedan admitir. Para obtener más información sobre la longitud de los nombres de dominio, consulte Limitaciones de la longitud de los nombres de dominio Administrada por Google certificados.
- Los certificados con el permiso
ALL_REGIONSno admiten el balanceador de cargas autorización. - Las siguientes limitaciones se aplican a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede almacenar hasta 100 anclas de confianza.
- Un almacén de confianza puede almacenar hasta 100 certificados de la AC intermedios.