Certificate Manager を使用すると、次のロードバランサ リソースで使用する Transport Layer Security(TLS)証明書を取得、管理できます。
アプリケーション ロードバランサで使用されるターゲット HTTPS プロキシ:
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- リージョン外部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
プロキシ ネットワーク ロードバランサで使用されるターゲット SSL プロキシ:
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のプロキシ ネットワーク ロードバランサ
Certificate Manager では、安全なウェブプロキシ プロキシにリージョンのセルフマネージド証明書とリージョン Google マネージド証明書をデプロイすることもできます。
Certificate Manager を使用するには、ロードバランサが対応するネットワーク サービス ティアに対応している必要があります。ロードバランサ タイプとそれぞれのネットワーク サービス階層のサポートの包括的な内訳については、Google Cloud ロードバランサの概要をご覧ください。
Certificate Manager を使用して、Google マネージド証明書を自動的に発行および更新できます。証明書を発行するために Google が承認した公開認証局(CA)に依存するのではなく、独自の信頼チェーンを使用する場合は、代わりに認証局として Certificate Authority Service から CA プールを使用するように Certificate Manager を構成できます。
次の種類の証明書を手動でアップロードすることもできます。
- 任意の第三者の CA が発行した証明書
- 制御できる CA によって発行された証明書
- 秘密鍵と証明書を作成するの説明に従って、自己署名証明書を使用します。
Certificate Manager は、選択したプロキシに証明書を安全に保存、デプロイします。これにより、証明書を事前プロビジョニングでき、移行中のダウンタイムをゼロにできます。
Certificate Manager では、ロードバランサごとに最大 100 万件の証明書をデプロイできます。デフォルトの割り当てとその増加方法については、割り当てと上限をご覧ください。
Certificate Manager の柔軟なマッピング メカニズムを使用すると、Google Cloud 環境のドメイン名への証明書の割り当てを大規模に制御できます。Cloud Load Balancing よりも多くの証明書を管理、提供できます。
Certificate Manager は、Public CA としても機能し、証明書のリクエスト元がドメインを制御していることを検証した後に、広く信頼されている X.509 証明書を提供してデプロイできます。Certificate Manager を使用すると、主要なブラウザ、オペレーティング システム、アプリケーションで使用されているトラストストアのルートにすでに存在する TLS 証明書を、直接的かつプログラムによってリクエストできます。これらの TLS 証明書を使用して、インターネット トラフィックを認証し、暗号化できます。詳しくは、Public CA をご覧ください。
ロードバランサで相互 TLS 認証(mTLS)を使用することもできます。詳細については、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。
Certificate Manager を使用する場面
Certificate Manager には、TLS(SSL)証明書をロードバランサに直接割り当てることに比べて、次のような利点があります。Certificate Manager では次のことができます。
- Cloud Load Balancing を使用している場合には利用できない、非常に詳細なレベルでホスト名に基づいて証明書の割り当てと選択を制御します。
- Google Cloud CLI または Certificate Manager API を使用して、すべての証明書を一元的に管理します。
- ターゲット プロキシごとに 15 個以上の証明書を割り当てます。Certificate Manager は、ロードバランサごとに最大 100 万件の証明書をサポートします。
- Google Cloud 内の Google マネージド証明書を自動的に取得して更新します。
- Google や Let's Encrypt CA ではなく、Google マネージド証明書の証明書の発行元として CA Service から CA プールを使用します。
- Cloud Load Balancing でサポートされているロードバランサ ベースの方法に加えて、Google マネージド証明書に対して DNS ベースのドメイン所有権を確認します。
- ワイルドカード ドメイン名(DNS など)には、DNS 認証で Google マネージド証明書を使用します。例:
*.myorg.example.com。ロードバランサの承認を使用した Google マネージド証明書は、ワイルドカード ドメイン名をサポートしていません。 - Google マネージド証明書を事前にプロビジョニングして、別のベンダーから Google Cloud にダウンタイムなしで移行できるようにします。
- Cloud Monitoring を使用して証明書の伝播と有効期限をモニタリングする
制限事項
Certificate Manager には次の制限事項があります。
- 公的に信頼できる Google マネージド証明書を発行する場合、Certificate Manager は Google CA と Let's Encrypt CA のみをサポートします。
- 組織内で信頼する Google マネージド証明書を発行する場合、Certificate Manager は、Certificate Authority Service のみをサポートします。
- Google マネージド証明書のドメイン(サブジェクト代替名)の数は、DNS 認証を使用する場合は最大 100、ロードバランサの承認を使用する場合は最大 5 つに制限されます。
- 1 つの証明書マップエントリに関連付けることができる証明書は最大で 4 つです。
- Google マネージド証明書の場合、サポートできるドメイン名の長さに制限があります。ドメイン名の長さ制限の詳細については、Google マネージド証明書のドメイン名の長さ制限をご覧ください。
ALL_REGIONSスコープの証明書は、ロードバランサの承認をサポートしていません。- 信頼構成リソースには、次の制限事項が適用されます。
- 信頼構成リソースは、1 つのトラストストアを保持できます。
- 1 つのトラストストアには、最大 100 個のトラスト アンカーを保持できます。
- トラストストアには、最大 100 個の中間 CA 証明書を保持できます。