Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes :
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge d'application interne interrégional
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy :
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Le gestionnaire de certificats vous permet également de déployer des certificats régionaux autogérés et gérés par Google sur des proxys Secure Web Proxy.
Pour utiliser le gestionnaire de certificats, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour obtenir une analyse complète des types d'équilibreurs de charge et de leur compatibilité avec les niveaux de service réseau respectifs, consultez le Récapitulatif des équilibreurs de charge Google Cloud.
Vous pouvez émettre et renouveler automatiquement des certificats gérés par Google à l'aide du gestionnaire de certificats. Si vous souhaitez utiliser votre propre chaîne de confiance plutôt que de vous appuyer sur des autorités de certification publiques approuvées par Google pour émettre vos certificats, vous pouvez configurer le Gestionnaire de certificats pour qu'il utilise un pool d'autorités de certification du service d'autorité de certification comme émetteur de certificats.
Vous pouvez également importer manuellement les types de certificats suivants:
- Certificats émis par des autorités de certification tierces de votre choix
- Certificats émis par des autorités de certification sous votre contrôle
- Certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat
Le gestionnaire de certificats stocke et déploie vers les proxys sélectionnés, ce qui vous permet de provisionner des certificats dans et garantit l'absence de temps d'arrêt pendant les migrations.
Avec le gestionnaire de certificats, vous pouvez déployer jusqu'à par équilibreur de charge. Pour en savoir plus sur les quotas par défaut comment les augmenter, consultez Quotas et limites.
Le mécanisme de mappage flexible du Gestionnaire de certificats vous permet de contrôler précisément l'attribution de certificats aux noms de domaine dans votre environnement Google Cloud à grande échelle. Vous pouvez gérer et traiter un plus grand nombre de certificats qu'avec Cloud Load Balancing.
Le gestionnaire de certificats peut également agir en tant qu’autorité de certification publique pour fournir et déployer des certificats X.509 largement fiables après avoir validé que le demandeur de certificat contrôle les domaines. Le Gestionnaire de certificats vous permet de demander directement et par programmation des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet. Pour en savoir plus, consultez la section Autorité de certification publique.
Vous avez la possibilité d'utiliser l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge. Pour en savoir plus, consultez la section Authentification TLS mutuelle dans la documentation Cloud Load Balancing.
Quand utiliser le Gestionnaire de certificats ?
Le gestionnaire de certificats présente les avantages suivants par rapport à l'attribution directe des certificats TLS (SSL) à votre équilibreur de charge. Gestionnaire de certificats vous permet d'effectuer les opérations suivantes:
- Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôte à un niveau très précis qui n'est pas disponible Cloud Load Balancing.
- Gérez tous vos certificats de manière unifiée à l'aide de la Google Cloud CLI ou de l'API Certificate Manager.
- Attribuer plus de 15 certificats par proxy cible Le gestionnaire de certificats prend en charge jusqu'à un million de certificats par un équilibreur de charge HTTP(S) externe global.
- Obtenez et renouvelez automatiquement les certificats gérés par Google dans Google Cloud.
- Utiliser un pool d'autorités de certification du service CA en tant qu'émetteur de certificat pour les certificats gérés par Google au lieu des CA de Google ou Let's Encrypt.
- Utiliser la validation de la propriété du domaine basée sur le DNS pour les certificats gérés par Google dans en plus de la méthode basée sur un équilibreur de charge et compatible avec Cloud Load Balancing.
- Utilisez des certificats gérés par Google avec une autorisation DNS pour les noms de domaine génériques (par exemple,
*.myorg.example.com
Les certificats gérés par Google avec autorisation d'équilibreur de charge ne sont pas compatibles des noms de domaine génériques. - Provisionnez les certificats gérés par Google à l'avance, ce qui permet de migrer d'un autre fournisseur vers Google Cloud sans temps d'arrêt.
- Utilisez Cloud Monitoring pour surveiller la propagation et l'expiration des certificats.
Limites
Le gestionnaire de certificats présente les limites suivantes:
- Pour émettre des certificats gérés par Google et approuvés publiquement, Le gestionnaire de certificats ne prend en charge que l'autorité de certification Google et la console Chiffrer l'autorité de certification
- Pour l'émission de certificats gérés par Google approuvés de manière privée, le Gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service.
- Nombre de domaines (Subject Alternative Names) pour les domaines gérés par Google de certificats est limitée à un maximum de 100 lors de l’utilisation d’une autorisation DNS et à un maximum de 5 lors de l'utilisation de l'autorisation d'équilibreur de charge.
- Vous pouvez associer un maximum de quatre certificats à une seule entrée de mappage de certificats.
- Pour les certificats gérés par Google, la longueur des noms de domaine qu’ils peuvent prendre en charge. Pour en savoir plus sur la longueur limites des noms de domaine, consultez la section Limites de longueur des noms de domaine pour Géré par Google certificats.
- Les certificats avec la portée
ALL_REGIONS
ne sont pas compatibles avec l'autorisation d'équilibreur de charge. - Les limites suivantes s'appliquent aux ressources de configuration de confiance:
- Une ressource de configuration de confiance ne peut contenir qu'un seul magasin de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 ancres de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 certificats CA intermédiaires.