O Gestor de certificados simplifica a aquisição, a implementação e a gestão de certificados Transport Layer Security (TLS). O Gestor de certificados suporta a implementação de certificados globais e regionais em balanceadores de carga, certificados regionais em proxies Secure Web Proxy e certificados globais no Media CDN. Google Cloud
Balanceadores de carga suportados
Google Cloud Os balanceadores de carga que fazem referência a um proxy HTTPS de destino ou a um proxy SSL de destino (TargetSslProxy) usam certificados TLS para encriptar as informações enviadas através da rede.
Para usar o Gestor de certificados, o seu equilibrador de carga tem de ser compatível com o Nível de serviço de rede correspondente. Para ver uma análise detalhada dos tipos de balanceadores de carga e o respetivo suporte do nível de serviço de rede, consulte o Resumo dos Google Cloud balanceadores de carga.
O Gestor de certificados suporta os seguintes recursos do equilibrador de carga:
| Proxies HTTPS de destino usados por balanceadores de carga de aplicações | Segmente proxies SSL usados por balanceadores de carga de rede de proxy |
|---|---|
|
|
Para mais informações sobre as diferenças entre os tipos de proxy HTTPS de destino e SSL de destino, consulte o artigo Proxies de destino.
Certificados TLS suportados
O Gestor de certificados suporta os seguintes tipos de certificados TLS:
Certificados geridos pela Google: certificados que a Google Google Cloud obtém e gere por si. Com o Gestor de certificados, pode emitir e renovar automaticamente certificados geridos pela Google. Se quiser usar a sua própria cadeia de confiança em vez de depender de autoridades de certificação (ACs) públicas para emitir os seus certificados, pode configurar o Certificate Manager para usar um conjunto de ACs do Certificate Authority Service como o emissor de certificados.
Certificados autogeridos: certificados que obtém, aprovisiona e renova. Carrega manualmente os certificados para o gestor de certificados e gere-os. Pode usar certificados emitidos por ACs de terceiros, ACs fidedignas ou os seus próprios certificados autossinados.
Para mais informações sobre os certificados suportados, consulte o artigo Certificados.
Vantagens
O Gestor de certificados oferece as seguintes vantagens:
Automatização
- Emitir, renovar e gerir automaticamente certificados geridos pela Google.
- Aprovisione certificados geridos pela Google antecipadamente para permitir migrações perfeitas e sem tempo de inatividade para o Google Cloud.
Segurança
- Armazene e implemente milhões de certificados em segurança.
- Proteja as suas configurações com certificados geridos pela Google, eliminando a necessidade de gerir chaves privadas de certificados.
- Implemente a autenticação TLS mútua (mTLS) no seu equilibrador de carga para uma segurança melhorada. Para mais informações, consulte a vista geral do TLS mútuo na documentação do Cloud Load Balancing.
Flexibilidade
- Valide a propriedade de domínios através de métodos de autorização baseados em DNS ou em balanceadores de carga.
- Escolha entre certificados geridos pela Google (processados automaticamente pela Google) ou certificados autogeridos (obtidos e geridos de forma independente).
- Use o protocolo ACME para obter certificados publicamente fidedignos para os pontos finais que gere a partir da autoridade de certificação pública. Para mais informações, consulte o artigo AC pública.
- Faça a gestão de todos os certificados de forma unificada através da Google Cloud consola, da CLI do Google Cloud ou da API Certificate Manager.
- Controlar a atribuição e a seleção de certificados com base nos nomes de domínios. Isto permite-lhe gerir e publicar um número maior de certificados do que com os certificados SSL do Compute Engine.
- Controlar a atribuição e a seleção de certificados com base nos nomes de anfitrião a um nível detalhado.
Limitações
O Gestor de certificados tem as seguintes limitações:
- O Gestor de certificados só suporta a autoridade de certificação pública e a AC Let's Encrypt para emitir certificados geridos pela Google fidedignos publicamente.
- O Certificate Manager só suporta o Certificate Authority Service para emitir certificados geridos pela Google com confiança privada.
- O número de domínios permitidos no campo Subject Alternative Names (SANs) para certificados geridos pela Google está limitado a um máximo de 100 quando usa a autorização de DNS e a um máximo de cinco quando usa a autorização do equilibrador de carga.
- Os certificados geridos pela Google têm limitações no comprimento dos nomes de domínios suportados. Para mais informações, consulte o artigo Limitações de comprimento do nome de domínio para certificados geridos pela Google.
- Os certificados com o âmbito
ALL_REGIONSnão suportam a autorização do equilibrador de carga. - Quando usa um Application Load Balancer externo global ou um Network Load Balancer de proxy externo global baseado em SSL, pode ter latências de handshake de TLS mais elevadas em algumas localizações com o Gestor de Certificados em comparação com a utilização de certificados SSL do Compute Engine.