Pengelola Sertifikat memungkinkan Anda memperoleh dan mengelola sertifikat Transport Layer Security (TLS) untuk digunakan dengan resource load balancer berikut:
Proxy HTTPS target yang digunakan oleh Load Balancer Aplikasi:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
- Load Balancer Aplikasi internal lintas region
Proxy SSL target yang digunakan oleh Load Balancer Jaringan proxy:
- Load Balancer Jaringan proxy eksternal global
- Load Balancer Jaringan proxy klasik
Dengan Certificate Manager, Anda juga dapat men-deploy sertifikat regional yang dikelola sendiri dan dikelola Google regional di proxy Secure Web Proxy.
Untuk menggunakan Pengelola Sertifikat, load balancer Anda harus kompatibel dengan Tingkat Layanan Jaringan yang sesuai. Untuk mendapatkan perincian komprehensif tentang jenis load balancer dan dukungan tingkat layanan jaringannya masing-masing, lihat Ringkasan load balancer Google Cloud.
Anda dapat menerbitkan dan memperpanjang sertifikat yang dikelola Google secara otomatis menggunakan Pengelola Sertifikat. Jika ingin menggunakan rantai kepercayaan Anda sendiri daripada mengandalkan certificate authority (CA) publik yang disetujui Google untuk menerbitkan sertifikat, Anda dapat mengonfigurasi Certificate Manager untuk menggunakan kumpulan CA dari Certificate Authority Service sebagai penerbit sertifikat.
Anda juga dapat mengupload jenis sertifikat berikut secara manual:
- Sertifikat yang diterbitkan oleh CA pihak ketiga pilihan Anda
- Sertifikat yang diterbitkan oleh CA di bawah kendali Anda
- Sertifikat yang ditandatangani sendiri, seperti dijelaskan dalam Membuat kunci pribadi dan sertifikat
Certificate Manager menyimpan dan men-deploy sertifikat dengan aman ke proxy yang Anda pilih, sehingga Anda dapat menyediakan sertifikat lebih awal dan membantu memastikan tidak ada periode nonaktif selama migrasi.
Dengan Certificate Manager, Anda dapat men-deploy hingga satu juta sertifikat per load balancer. Untuk mengetahui informasi tentang kuota default dan cara meningkatkannya, lihat Kuota dan batas.
Mekanisme pemetaan fleksibel Certificate Manager memungkinkan Anda mengontrol penetapan sertifikat ke nama domain di lingkungan Google Cloud dalam skala besar. Anda dapat mengelola dan menyalurkan sertifikat dalam jumlah lebih besar dibandingkan dengan Cloud Load Balancing.
Pengelola Sertifikat juga dapat bertindak sebagai CA publik untuk memberikan dan men-deploy sertifikat X.509 yang dipercaya secara luas setelah memvalidasi bahwa pemohon sertifikat mengontrol domain. Dengan Certificate Manager, Anda dapat langsung dan terprogram meminta sertifikat TLS tepercaya publik yang sudah ada di root store yang digunakan oleh browser, sistem operasi, dan aplikasi utama. Anda dapat menggunakan sertifikat TLS ini untuk mengautentikasi dan mengenkripsi traffic internet. Untuk informasi lebih lanjut, lihat CA Publik.
Anda memiliki opsi untuk menggunakan autentikasi TLS bersama (mTLS) di load balancer. Untuk mengetahui informasi selengkapnya, lihat Autentikasi TLS bersama dalam dokumentasi Cloud Load Balancing.
Kapan menggunakan Certificate Manager
Pengelola Sertifikat memiliki keunggulan berikut dibandingkan langsung menetapkan sertifikat TLS (SSL) ke load balancer Anda. Pengelola Sertifikat memungkinkan Anda melakukan hal berikut:
- Kontrol penetapan dan pemilihan sertifikat berdasarkan nama host pada tingkat yang sangat terperinci yang tidak tersedia saat menggunakan Cloud Load Balancing.
- Kelola semua sertifikat Anda secara terpadu menggunakan Google Cloud CLI atau Certificate Manager API.
- Tetapkan lebih dari 15 sertifikat per proxy target. Pengelola Sertifikat mendukung hingga satu juta sertifikat per load balancer.
- Mendapatkan dan memperpanjang sertifikat yang dikelola Google secara otomatis dalam Google Cloud.
- Gunakan kumpulan CA dari Layanan CA sebagai penerbit sertifikat untuk sertifikat yang dikelola Google, bukan CA Google atau Let's Encrypt.
- Gunakan verifikasi kepemilikan domain berbasis DNS untuk sertifikat yang dikelola Google selain metode berbasis load balancer yang didukung oleh Cloud Load Balancing.
- Gunakan sertifikat yang dikelola Google dengan otorisasi DNS untuk nama domain karakter pengganti—misalnya,
*.myorg.example.com
. Sertifikat yang dikelola Google dengan otorisasi load balancer tidak mendukung nama domain karakter pengganti. - Sediakan sertifikat yang dikelola Google terlebih dahulu, yang memungkinkan migrasi tanpa periode nonaktif dari vendor lain ke Google Cloud.
- Gunakan Cloud Monitoring untuk memantau penerapan dan akhir masa berlaku sertifikat.
Batasan
Pengelola Sertifikat memiliki batasan berikut:
- Untuk menerbitkan sertifikat yang dikelola Google tepercaya secara publik, Certificate Manager hanya mendukung CA Google dan Let's Encrypt.
- Untuk menerbitkan sertifikat tepercaya yang dikelola Google secara pribadi, Certificate Manager hanya mendukung Certificate Authority Service.
- Jumlah domain (Subject Alternative Names) untuk sertifikat yang dikelola Google dibatasi maksimum 100 saat menggunakan otorisasi DNS dan maksimum lima saat menggunakan otorisasi load balancer.
- Anda dapat mengaitkan maksimum empat sertifikat dengan satu entri peta sertifikat.
- Untuk sertifikat yang dikelola Google, ada batasan terkait panjang nama domain yang dapat didukung. Untuk informasi selengkapnya tentang batasan panjang nama domain, lihat Batasan panjang nama domain untuk sertifikat yang dikelola Google.
- Sertifikat dengan cakupan
ALL_REGIONS
tidak mendukung otorisasi load balancer. - Batasan berikut berlaku untuk resource konfigurasi kepercayaan:
- Resource konfigurasi kepercayaan dapat menyimpan satu penyimpanan kepercayaan.
- Trust store dapat menampung hingga 100 trust anchor.
- Trust store dapat menyimpan hingga 100 sertifikat CA perantara.