Gestore certificati consente di acquisire e gestire il Transport Layer Certificati di sicurezza (TLS) da utilizzare con le seguenti risorse del bilanciatore del carico:
Proxy HTTPS target utilizzati dai bilanciatori del carico delle applicazioni:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico delle applicazioni interno tra regioni
Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico di rete proxy classico
Gestore certificati consente anche di eseguire il deployment autogestito a livello di regione e a livello di regione Proxy Secure Web Proxy.
Per usare Gestore certificati, il bilanciatore del carico deve essere compatibile con il livello di servizio di rete corrispondente. Per un'analisi completa dei tipi di bilanciatore del carico e delle rispettive reti per il supporto del livello di servizio, vedi Riepilogo dei bilanciatori del carico Google Cloud.
Puoi emettere e rinnovare automaticamente i certificati gestiti da Google utilizzando Gestore certificati. Se vuoi usare la tua catena di attendibilità che non affidarsi ad autorità di certificazione pubbliche (CA) approvate da Google per rilasciare i certificati, puoi configurare Gestore certificati in modo che utilizzi un pool di CA Certificate Authority Service come emittente del certificato.
Puoi anche caricare manualmente i seguenti tipi di certificati:
- Certificati emessi da CA di terze parti a tua scelta
- Certificati emessi da CA sotto il tuo controllo
- Certificati autofirmati, come descritto in Crea una chiave privata e un certificato
Certificate Manager archivia e distribuisce in modo sicuro i certificati ai proxy selezionati, il che ti consente di eseguire il provisioning dei certificati in anticipo e di garantire zero downtime durante le migrazioni.
Con Certificate Manager, puoi implementare fino a un milione di certificati per bilanciatore del carico. Per informazioni sulle quote predefinite e su come aumentarle, consulta Quote e limiti.
Il meccanismo di mappatura flessibile di Gestore certificati consente di eseguire controllare l'assegnazione dei certificati ai nomi di dominio in Google Cloud dell'ambiente su larga scala. Puoi gestire e pubblicare un numero maggiore di certificati rispetto a Cloud Load Balancing.
Gestione certificati può anche fungere da autorità di certificazione pubblica per fornire e implementare certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Gestore certificati consente di gestire in modo diretto e programmatico richiedere certificati TLS pubblicamente attendibili che sono già nella radice di archivi attendibili utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet. Per ulteriori informazioni, consulta CA pubblica.
Puoi utilizzare l'autenticazione TLS reciproca (mTLS) sul bilanciatore del carico. Per maggiori informazioni per informazioni, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.
Quando utilizzare Gestore dei certificati
Certificate Manager offre i seguenti vantaggi rispetto all'assegnazione diretta dei certificati TLS (SSL) al bilanciatore del carico. Gestore certificati ti consente di:
- Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a un livello altamente granulare non disponibile quando utilizzi Cloud Load Balancing.
- Gestisci tutti i tuoi certificati in modo unificato utilizzando Google Cloud CLI o l'API Certificate Manager.
- Assegna più di 15 certificati per proxy di destinazione. Certificate Manager supporta fino a un milione di certificati per bilanciatore del carico.
- Acquisisci e rinnova automaticamente i certificati gestiti da Google entro in Google Cloud.
- Utilizza un pool di CA del servizio CA come emittente del certificato per i certificati gestiti da Google invece che per le CA Google o Let's Encrypt.
- Utilizza la verifica della proprietà del dominio basata su DNS per i certificati gestiti da Google in al metodo basato su bilanciatore del carico supportato da Cloud Load Balancing.
- Utilizza i certificati gestiti da Google con autorizzazione DNS per i nomi di dominio con caratteri jolly, ad esempio
*.myorg.example.com. I certificati gestiti da Google con autorizzazione del bilanciatore del carico non supportano con caratteri jolly, - Esegui il provisioning dei certificati gestiti da Google in anticipo, in modo da eseguire la migrazione da un altro fornitore a Google Cloud senza tempi di riposo.
- Utilizza Cloud Monitoring per monitorare la propagazione e la scadenza dei certificati.
Limitazioni
Certificate Manager presenta le seguenti limitazioni:
- Per l'emissione di certificati gestiti da Google attendibili pubblicamente, Gestione certificati supporta solo la CA Google e la CA Let's Encrypt.
- Per l'emissione di certificati gestiti da Google attendibili privatamente, Gestore certificati supporta solo Certificate Authority Service.
- Il numero di domini (nomi del soggetto alternativi) gestiti da Google è limitato a un massimo di 100 quando si utilizza l'autorizzazione DNS e a un massimo di cinque quando si utilizza l'autorizzazione del bilanciatore del carico.
- Puoi associare un massimo di quattro certificati a un singolo certificato. voce della mappa.
- Per i certificati gestiti da Google, esistono limitazioni alla lunghezza dei nomi di dominio che possono supportare. Per ulteriori informazioni sulle limitazioni di lunghezza dei nomi di dominio, consulta Limitazioni di lunghezza dei nomi di dominio per i certificati gestiti da Google.
- I certificati con l'ambito
ALL_REGIONSnon supportano il bilanciatore del carico autorizzazione. - Le seguenti limitazioni si applicano alle risorse di configurazione dell'attendibilità:
- Una risorsa di configurazione dell'attendibilità può contenere un singolo magazzino attendibilità.
- Un archivio di attendibilità può contenere fino a 100 trust anchor.
- Un archivio di attendibilità può contenere fino a 100 certificati CA intermedi.