El Administrador de certificados te permite adquirir y administrar certificados de seguridad de la capa de transporte (TLS) para usarlos con los siguientes recursos de balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de aplicaciones interno entre regiones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:
- Balanceador de cargas de red del proxy externo global
- Balanceador de cargas de red del proxy clásico
El Administrador de certificados también te permite implementar certificados autoadministrados regionales y administrados por Google en proxies de Secure Web Proxy.
Para usar el Administrador de certificados, el balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y sus respectivas redes asistencia a nivel de servicio, consulta el Resumen de balanceadores de cargas de Google Cloud.
Puedes emitir y renovar automáticamente certificados administrados por Google con Administrador de certificados. Si quieres usar tu propia cadena de confianza que depender de autoridades certificadoras (AC) públicas aprobadas por Google para que tus certificados, puedes configurar el Administrador de certificados para usar un grupo de AC del Certificate Authority Service como el emisor del certificado.
También puedes subir manualmente los siguientes tipos de certificados:
- Los certificados emitidos por CA de terceros que elijas
- Certificados emitidos por AC que están bajo tu control
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
El Administrador de certificados almacena e implementa de manera segura certificados a los proxies seleccionados, lo que te permite aprovisionar certificados y ayuda a garantizar un tiempo de inactividad cero durante las migraciones.
Con el Administrador de certificados, puedes implementar hasta un millón certificados por balanceador de cargas. Para obtener información sobre las cuotas cómo aumentarlas, observa Cuotas y límites
El mecanismo de asignación flexible del Administrador de certificados te permite controlar con precisión la asignación de certificados a nombres de dominio en tu entorno de Google Cloud a gran escala. Puedes administrar y entregar una mayor cantidad de certificados que con Cloud Load Balancing.
El Administrador de certificados también puede actuar como una AC pública para Proporcionar e implementar certificados X.509 de amplia confianza tras la validación que el solicitante de certificados controla los dominios. El Administrador de certificados te permite de forma directa y programática solicitar certificados TLS de confianza pública que ya se encuentran en la raíz del almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet. Para obtener más información, consulta AC pública.
Tienes la opción de usar la autenticación de TLS mutua (mTLS) en tu balanceador de cargas. Para obtener más información, consulta Autenticación TLS mutua en la documentación de Cloud Load Balancing.
Cuándo usar el Administrador de certificados
El Administrador de certificados tiene las siguientes ventajas sobre la asignación directa de certificados TLS (SSL) a tu balanceador de cargas. Administrador de certificados te permite hacer lo siguiente:
- Controla la asignación y selección de certificados según los nombres de host a un nivel muy detallado que no esté disponible cuando se use Cloud Load Balancing.
- Administra todos tus certificados de forma unificada con Google Cloud CLI o la API de Certificate Manager.
- Asigna más de 15 certificados por proxy de destino. El Administrador de certificados admite hasta un millón de certificados por balanceador de cargas HTTP(S) global externo.
- Adquiere y renueva automáticamente los certificados administrados por Google en en Google Cloud.
- Usar un grupo de AC del servicio de AC como emisor del certificado en lugar de las AC de Google o Let's Encrypt.
- Usa la verificación de propiedad de dominio basada en DNS para los certificados administrados por Google, además del método basado en el balanceador de cargas que admite Cloud Load Balancing.
- Usa certificados administrados por Google con autorización de DNS para nombres de dominio con comodines, por ejemplo,
*.myorg.example.com. Los certificados administrados por Google con autorización del balanceador de cargas no son compatibles comodines en el nombre de dominio. - Aprovisiona certificados administrados por Google con anticipación, lo que permite la migración sin tiempo de inactividad de otro proveedor a Google Cloud.
- Usar Cloud Monitoring para supervisar la propagación y el vencimiento de los certificados
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- Para emitir certificados de confianza pública administrados por Google, El Administrador de certificados solo admite la AC de Google y Encripta CA.
- Para emitir certificados de confianza privados administrados por Google, El Administrador de certificados solo es compatible con Certificate Authority Service.
- La cantidad de dominios (Nombres alternativos del asunto) para los que administra Google certificados se limita a un máximo de 100 cuando se usan a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
- Puedes asociar un máximo de cuatro certificados con una sola entrada de mapa de certificados.
- Para los certificados administrados por Google, existen limitaciones en la longitud de nombres de dominio que puedan admitir. Para obtener más información sobre la longitud limitaciones de los nombres de dominio, consulte Limitaciones de la longitud de los nombres de dominio Administrada por Google certificados.
- Los certificados con el permiso
ALL_REGIONSno admiten el balanceador de cargas autorización. - Las siguientes limitaciones se aplican a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede contener hasta 100 anclas de confianza.
- Un almacén de confianza puede almacenar hasta 100 certificados de la AC intermedios.