O Gerenciador de certificados permite adquirir e gerenciar a camada de transporte Certificados de segurança (TLS) para uso com os seguintes recursos do balanceador de carga:
Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de aplicativo interno entre regiões
Proxy SSL de destino usado pelos balanceadores de carga de proxy de rede:
- Balanceador de carga de rede de proxy externo global
- Balanceador de carga de rede de proxy clássico
O Gerenciador de certificados também permite implantar certificados autogerenciados regionais e gerenciados pelo Google em proxies do Proxy seguro da Web.
Para usar o Gerenciador de certificados, seu balanceador de carga precisa ter compatíveis com o Nível de serviço de rede correspondente. Para um detalhamento completo dos tipos de balanceadores de carga e do respectivo suporte ao nível de serviço de rede, consulte Resumo dos balanceadores de carga do Google Cloud.
Para emitir e renovar automaticamente certificados gerenciados pelo Google, use Gerenciador de certificados. Se você quiser usar sua própria cadeia de confiança do que depender de autoridades de certificação (CAs) públicas aprovadas pelo Google para emitir seus certificados, é possível configure o Gerenciador de certificados para usar um pool de ACs da Certificate Authority Service (em inglês) como emissor do certificado.
Também é possível fazer o upload manual dos seguintes tipos de certificados:
- Certificados emitidos por CAs de terceiros da sua escolha
- Certificados emitidos por CAs sob seu controle
- certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
O Gerenciador de certificados armazena e implanta com segurança certificados para seus proxies selecionados, o que permite provisionar certificados em a avançar e ajuda a garantir zero inatividade durante as migrações.
Com o Gerenciador de certificados, é possível implantar até um milhão de certificados por balanceador de carga. Para informações sobre as cotas padrão e como aumentá-las, consulte Cotas e limites.
O mecanismo de mapeamento flexível do Gerenciador de certificados permite que você controlar a atribuição de certificados a nomes de domínio na sua Google Cloud em um ambiente de nuvem em escala. É possível gerenciar e veicular um número maior de certificados do que com o Cloud Load Balancing.
O Gerenciador de certificados também pode atuar como uma CA pública para fornecer e implantar certificados X.509 amplamente confiáveis após a validação que o solicitante do certificado controla os domínios. O Gerenciador de certificados permite solicitar de forma direta e programática certificados TLS de confiança pública que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar do tráfego de entrada. Para mais informações, consulte AC pública.
Você tem a opção de usar a autenticação TLS mútua (mTLS) no balanceador de carga. Para mais informações, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Quando usar o Gerenciador de certificados
O Gerenciador de certificados tem as seguintes vantagens em relação à atribuição direta de certificados TLS (SSL) ao balanceador de carga. Gerenciador de certificados você pode fazer o seguinte:
- Controle a atribuição e a seleção de certificados com base em nomes de host em um nível altamente granular que não está disponível ao usar o Cloud Load Balancing.
- Use a CLI do Google Cloud ou a API Certificate Manager para gerenciar todos os seus certificados de maneira unificada.
- Atribuir mais de 15 certificados por proxy de destino. O Gerenciador de certificados dá suporte a até um milhão de certificados por de carga HTTP(S) externo global.
- Adquira e renove automaticamente certificados gerenciados pelo Google no Google Cloud.
- Use um pool de ACs do serviço de AC como emissor de certificados para certificados gerenciados pelo Google em vez das ACs do Google ou do Let's Encrypt.
- Use a verificação de propriedade de domínio baseada em DNS para certificados gerenciados pelo Google, além do método baseado em balanceador de carga compatível com o Cloud Load Balancing.
- Use certificados gerenciados pelo Google com autorização de DNS para nomes de domínio curinga, por exemplo,
*.myorg.example.com. Certificados gerenciados pelo Google com autorização do balanceador de carga não são compatíveis com nomes de domínio curinga. - Provisione certificados gerenciados pelo Google com antecedência, permitindo tempo zero de inatividade. migração de outro fornecedor para o Google Cloud.
- Use o Cloud Monitoring para monitorar a propagação e a expiração de certificados.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- Para emitir certificados gerenciados pelo Google e de confiança pública, o Gerenciador de certificados só oferece suporte à AC do Google e à AC do Let's Encrypt.
- Para emitir certificados gerenciados pelo Google e confiáveis, O Gerenciador de certificados só oferece suporte ao Certificate Authority Service.
- O número de domínios (nomes alternativos do assunto) gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização DNS, e no máximo cinco ao usar a autorização do balanceador de carga.
- É possível associar no máximo quatro certificados a uma única entrada do mapa de certificados.
- Para certificados gerenciados pelo Google, há limitações no comprimento dos nomes de domínio compatíveis. Para mais informações sobre as limitações de comprimento de nomes de domínio, consulte Limitações de comprimento de nomes de domínio para certificados gerenciados pelo Google.
- Os certificados com o escopo
ALL_REGIONSnão são compatíveis com o balanceador de carga autorização. - As limitações a seguir se aplicam aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único armazenamento de confiança.
- Um repositório de confiança pode conter até 100 âncoras de confiança.
- Um repositório de confiança pode conter até 100 certificados de CA intermediários.