Certificate Manager を使用すると、次のロードバランサ リソースで使用する Transport Layer Security(TLS)証明書を取得、管理できます。
アプリケーション ロードバランサで使用されるターゲット HTTPS プロキシ:
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- リージョン外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
プロキシ ネットワーク ロードバランサで使用されるターゲット SSL プロキシ:
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のプロキシ ネットワーク ロードバランサ
Certificate Manager では、安全なウェブプロキシ プロキシにリージョンのセルフマネージド証明書とリージョン Google マネージド証明書をデプロイすることもできます。
Certificate Manager を使用するには、ロードバランサが対応するネットワーク サービス ティアに対応している必要があります。ロードバランサのタイプと、それらのネットワーク サービス ティアのサポートの詳細については、Google Cloud ロードバランサの概要をご覧ください。
Certificate Manager を使用して、Google マネージド証明書を自動的に発行および更新できます。証明書を発行するために Google が承認した公開認証局(CA)に依存するのではなく、独自の信頼チェーンを使用する場合は、代わりに認証局として Certificate Authority Service から CA プールを使用するように Certificate Manager を構成できます。
次の種類の証明書を手動でアップロードすることもできます。
- 任意の第三者の CA が発行した証明書
- 制御できる CA によって発行された証明書
- 秘密鍵と証明書を作成するで説明されている自己署名証明書
Certificate Manager は、選択したプロキシに証明書を安全に保存してデプロイします。これにより、事前に証明書をプロビジョニングし、移行中のダウンタイムをゼロにできます。
Certificate Manager を使用すると、ロードバランサごとに最大 100 万個の証明書をデプロイできます。デフォルトの割り当てとその増加方法については、割り当てと上限をご覧ください。
Certificate Manager の柔軟なマッピング メカニズムを使用すると、Google Cloud 環境のドメイン名への証明書の割り当てを大規模に細かく制御できます。Cloud Load Balancing よりも多くの証明書を管理、提供できます。
Certificate Manager は、Public CA としても機能し、証明書のリクエスト元がドメインを制御していることを検証した後に、広く信頼されている X.509 証明書を提供してデプロイできます。Certificate Manager を使用すると、主要なブラウザ、オペレーティング システム、アプリケーションで使用されるトラストストアのルートにすでに存在している TLS 証明書を、直接およびプログラムでリクエストできます。これらの TLS 証明書は、インターネット トラフィックの認証と暗号化に使用できます。詳しくは、Public CA をご覧ください。
ロードバランサで相互 TLS 認証(mTLS)を使用することもできます。詳細については、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。
Certificate Manager を使用する場面
Certificate Manager には、TLS(SSL)証明書をロードバランサに直接割り当てる場合と比べて、次のような利点があります。Certificate Manager を使用すると、次のことができます。
- Cloud Load Balancing を使用している場合には利用できない、非常に詳細なレベルでホスト名に基づいて証明書の割り当てと選択を制御します。
- Google Cloud CLI または Certificate Manager API を使用して、すべての証明書を一元的に管理します。
- ターゲット プロキシごとに 15 個を超える証明書を割り当てます。Certificate Manager は、ロードバランサごとに最大 100 万個の証明書をサポートします。
- Google Cloud 内で Google マネージド証明書を自動的に取得、更新します。
- Google や Let's Encrypt CA ではなく、Google マネージド証明書の証明書の発行元として CA Service から CA プールを使用します。
- Cloud Load Balancing でサポートされているロードバランサ ベースの方法に加えて、Google マネージド証明書に対して DNS ベースのドメイン所有権検証を使用します。
- ワイルドカード ドメイン名(DNS など)には、DNS 認証で Google マネージド証明書を使用します。例:
*.myorg.example.com。ロードバランサの承認を使用した Google マネージド証明書は、ワイルドカード ドメイン名をサポートしていません。 - Google 管理の証明書を事前にプロビジョニングし、別のベンダーから Google Cloud へのゼロダウンタイムの移行を可能にします。
- Cloud Monitoring を使用して、証明書の伝播と有効期限をモニタリングします。
制限事項
Certificate Manager には次の制限があります。
- 公的に信頼できる Google マネージド証明書を発行する場合、Certificate Manager は Google CA と Let's Encrypt CA のみをサポートします。
- 組織内で信頼する Google マネージド証明書を発行する場合、Certificate Manager は、Certificate Authority Service のみをサポートします。
- Google マネージド証明書のドメイン数(サブジェクトの代替名)は、DNS 認証を使用する場合は最大 100 個、ロードバランサの認証を使用する場合は最大 5 個に制限されています。
- 1 つの証明書マップエントリに関連付けることができる証明書は最大で 4 つです。
- Google マネージド証明書の場合、サポートできるドメイン名の長さに制限があります。ドメイン名の長さ制限の詳細については、Google マネージド証明書のドメイン名の長さ制限をご覧ください。
ALL_REGIONSスコープの証明書は、ロードバランサの承認をサポートしていません。- 信頼構成リソースには、次の制限事項が適用されます。
- 信頼構成リソースは 1 つのトラストストアを保持できます。
- 1 つのトラストストアには、最大 100 個のトラスト アンカーを保持できます。
- トラストストアには、最大 100 個の中間 CA 証明書を保持できます。