Dengan Certificate Manager, Anda dapat memperoleh dan mengelola sertifikat Transport Layer Security (TLS) untuk digunakan dengan resource load balancer berikut:
Proxy HTTPS target yang digunakan oleh Load Balancer Aplikasi:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
- Load Balancer Aplikasi internal lintas region
Target proxy SSL yang digunakan oleh Load Balancer Jaringan proxy:
- Load Balancer Jaringan proxy eksternal global
- Load Balancer Jaringan proxy klasik
Pengelola Sertifikat juga memungkinkan Anda men-deploy sertifikat yang dikelola sendiri secara regional dan sertifikat yang dikelola Google secara regional di proxy Secure Web Proxy.
Untuk menggunakan Pengelola Sertifikat, load balancer Anda harus kompatibel dengan Network Service Tier yang sesuai. Untuk mengetahui perincian lengkap jenis load balancer dan dukungan tingkat layanan jaringannya masing-masing, lihat Ringkasan load balancer Google Cloud.
Anda dapat otomatis menerbitkan dan memperpanjang sertifikat yang dikelola Google menggunakan Pengelola Sertifikat. Jika ingin menggunakan rantai kepercayaan sendiri, bukan mengandalkan certificate authority (CA) publik yang disetujui Google untuk menerbitkan sertifikat, Anda dapat mengonfigurasi Pengelola Sertifikat untuk menggunakan kumpulan CA dari Certificate Authority Service sebagai penerbit sertifikat.
Anda juga dapat mengupload jenis sertifikat berikut secara manual:
- Sertifikat yang dikeluarkan oleh CA pihak ketiga pilihan Anda
- Sertifikat yang dikeluarkan oleh CA yang berada di bawah kontrol Anda
- Sertifikat yang ditandatangani sendiri, seperti yang dijelaskan dalam Membuat kunci pribadi dan sertifikat
Pengelola Sertifikat menyimpan dan men-deploy sertifikat dengan aman ke proxy yang dipilih, sehingga Anda dapat menyediakan sertifikat terlebih dahulu dan membantu memastikan tidak ada periode nonaktif selama migrasi.
Dengan Certificate Manager, Anda dapat men-deploy hingga satu juta sertifikat per load balancer. Untuk mengetahui informasi tentang kuota default dan cara meningkatkannya, lihat Kuota dan batas.
Mekanisme pemetaan yang fleksibel dari Pengelola Sertifikat memungkinkan Anda mengontrol penetapan sertifikat ke nama domain di lingkungan Google Cloud secara terperinci dan berskala besar. Anda dapat mengelola dan menayangkan lebih banyak sertifikat dibandingkan dengan Cloud Load Balancing.
Pengelola Sertifikat juga dapat bertindak sebagai CA publik untuk menyediakan dan men-deploy sertifikat X.509 yang dipercaya secara luas setelah memvalidasi bahwa pemohon sertifikat mengontrol domain. Pengelola Sertifikat memungkinkan Anda secara langsung dan terprogram meminta sertifikat TLS tepercaya secara publik yang sudah ada di root trust store yang digunakan oleh browser, sistem operasi, dan aplikasi utama. Anda dapat menggunakan sertifikat TLS ini untuk mengautentikasi dan mengenkripsi traffic internet. Untuk mengetahui informasi selengkapnya, lihat CA Publik.
Anda memiliki opsi untuk menggunakan autentikasi TLS bersama (mTLS) di load balancer. Untuk mengetahui informasi selengkapnya, lihat Autentikasi TLS bersama dalam dokumentasi Cloud Load Balancing.
Kapan harus menggunakan Pengelola Sertifikat
Pengelola Sertifikat memiliki keunggulan berikut dibandingkan dengan menetapkan langsung sertifikat TLS (SSL) ke load balancer Anda. Certificate Manager memungkinkan Anda melakukan hal berikut:
- Kontrol penetapan dan pemilihan sertifikat berdasarkan nama host pada tingkat yang sangat terperinci yang tidak tersedia saat menggunakan Cloud Load Balancing.
- Mengelola semua sertifikat Anda dengan cara terpadu menggunakan Google Cloud CLI atau Certificate Manager API.
- Menetapkan lebih dari 15 sertifikat per proxy target. Certificate Manager mendukung hingga satu juta sertifikat per load balancer.
- Mendapatkan dan memperpanjang sertifikat yang dikelola Google secara otomatis dalam Google Cloud.
- Gunakan kumpulan CA dari Layanan CA sebagai penerbit sertifikat untuk sertifikat yang dikelola Google, bukan CA Google atau Let's Encrypt.
- Gunakan verifikasi kepemilikan domain berbasis DNS untuk sertifikat yang dikelola Google, selain metode berbasis load balancer yang didukung oleh Cloud Load Balancing.
- Gunakan sertifikat yang dikelola Google dengan otorisasi DNS untuk nama domain karakter pengganti—misalnya,
*.myorg.example.com. Sertifikat yang dikelola Google dengan otorisasi load balancer tidak mendukung nama domain karakter pengganti. - Sediakan sertifikat yang dikelola Google terlebih dahulu, sehingga memungkinkan migrasi tanpa periode nonaktif dari vendor lain ke Google Cloud.
- Gunakan Cloud Monitoring untuk memantau penerapan dan masa berlaku sertifikat.
Batasan
Pengelola Sertifikat memiliki batasan berikut:
- Untuk menerbitkan sertifikat yang dikelola Google dan tepercaya secara publik, Pengelola Sertifikat hanya mendukung CA Google dan CA Let's Encrypt.
- Untuk menerbitkan sertifikat yang dikelola Google dan dipercaya secara pribadi, Certificate Manager hanya mendukung Layanan Otoritas Sertifikat.
- Jumlah domain (Subject Alternative Names) untuk sertifikat yang dikelola Google dibatasi maksimal 100 saat menggunakan otorisasi DNS dan maksimal lima saat menggunakan otorisasi load balancer.
- Anda dapat mengaitkan maksimal empat sertifikat dengan satu entri peta sertifikat.
- Untuk sertifikat yang dikelola Google, ada batasan panjang nama domain yang dapat didukungnya. Untuk informasi selengkapnya tentang batasan panjang nama domain, lihat Batasan panjang nama domain untuk sertifikat yang dikelola Google.
- Sertifikat dengan cakupan
ALL_REGIONStidak mendukung otorisasi load balancer. - Batasan berikut berlaku untuk resource konfigurasi kepercayaan:
- Resource konfigurasi kepercayaan dapat menyimpan satu trust store.
- Trust store dapat menyimpan hingga 100 trust anchor.
- Truststore dapat menyimpan hingga 100 sertifikat CA perantara.