Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Gestor de certificados simplifica la adquisición, la implementación y la gestión de certificados de Seguridad en la capa de transporte (TLS).
Gestor de certificados admite el despliegue de certificados globales y regionales en balanceadores de carga, certificados regionales en proxies
Secure Web Proxy y certificados globales en Media CDN. Google Cloud
Balanceadores de carga admitidos
Los balanceadores de carga que hacen referencia a un proxy HTTPS de destino o a un proxy SSL de destino (TargetSslProxy) usan certificados TLS para cifrar la información enviada a través de la red.Google Cloud
Para usar Certificate Manager, tu balanceador de carga debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceadores de carga y su respectivo nivel de servicio de red, consulta el resumen de los balanceadores de carga Google Cloud .
Certificate Manager admite los siguientes recursos de balanceador de carga:
Proxies HTTPS de destino usados por balanceadores de carga de aplicaciones
Proxies SSL de destino usados por balanceadores de carga de red de proxy
Balanceador de carga de aplicación externo global
Balanceador de carga de aplicación clásico
Balanceador de carga de aplicación externo regional
Balanceador de carga de aplicación interno regional
Balanceador de carga de aplicación interno entre regiones
Balanceador de carga de red con proxy externo global
Balanceador de carga de red de proxy clásico
Para obtener más información sobre las diferencias entre los tipos de proxy HTTPS y SSL de destino, consulta Proxies de destino.
Certificados TLS admitidos
Certificate Manager admite los siguientes tipos de certificados TLS:
Certificados gestionados por Google: certificados que Google Google Cloud
obtiene y gestiona por ti. Con Gestor de certificados, puedes emitir y renovar automáticamente certificados gestionados por Google. Si quieres usar tu propia cadena de confianza en lugar de depender de autoridades de certificación (ACs) públicas para emitir tus certificados, puedes configurar Certificate Manager para que use un pool de ACs del servicio de autoridad de certificación como emisor de certificados.
Certificados autogestionados: certificados que obtienes, proporcionas y renuevas tú mismo. Subes los certificados manualmente a Certificate Manager y los gestionas. Puedes usar certificados emitidos por ACs de terceros o ACs en los que confíes, o tus propios certificados autofirmados.
Para obtener más información sobre los certificados admitidos, consulta Certificados.
Ventajas
Gestor de certificados ofrece las siguientes ventajas:
Automatización
Emitir, renovar y gestionar automáticamente los certificados gestionados por Google.
Aprovisiona certificados gestionados por Google con antelación para habilitar migraciones fluidas y sin tiempo de inactividad a Google Cloud.
Seguridad
Almacena y despliega millones de certificados de forma segura.
Protege tus configuraciones con certificados gestionados por Google, lo que elimina la necesidad de gestionar las claves privadas de los certificados.
Implementa la autenticación TLS mutua (mTLS) en tu balanceador de carga para mejorar la seguridad. Para obtener más información, consulta la descripción general de TLS mutuo en la documentación de Cloud Load Balancing.
Flexibilidad
Verifica la propiedad de los dominios mediante métodos de autorización basados en DNS o en balanceadores de carga.
Elige entre certificados gestionados por Google (que Google gestiona automáticamente) o certificados autogestionados (que se obtienen y gestionan de forma independiente).
Usa el protocolo ACME para obtener certificados de confianza públicos para los endpoints que gestionas de la autoridad de certificación pública. Para obtener más información, consulta Autoridad de certificación pública.
Gestiona todos los certificados de forma unificada con la Google Cloud consola,
la CLI de Google Cloud o la API Certificate Manager.
Controla la asignación y la selección de certificados en función de los nombres de dominio. Esto te permite gestionar y servir un mayor número de certificados que con los certificados SSL de Compute Engine.
Controlar la asignación y la selección de certificados en función de los nombres de host
de forma granular.
Limitaciones
Certificate Manager tiene las siguientes limitaciones:
Certificate Manager solo admite la autoridad de certificación pública y la autoridad de certificación Let's Encrypt para emitir certificados gestionados por Google de confianza pública.
Certificate Manager solo admite el servicio de autoridades de certificación para emitir certificados gestionados por Google de confianza privada.
El número de dominios permitidos en el campo Nombres alternativos del firmante (SANs) de los certificados gestionados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de carga.
Los certificados con el ámbito ALL_REGIONS no admiten la autorización del balanceador de carga.
Si usas un balanceador de carga de aplicaciones externo global o un balanceador de carga de red de proxy externo global basado en SSL, es posible que experimentes latencias de handshake de TLS más altas en algunas ubicaciones con Gestor de certificados en comparación con el uso de certificados SSL de Compute Engine.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[[["\u003cp\u003eCertificate Manager facilitates the acquisition and management of TLS certificates for various load balancer resources, including Application Load Balancers and proxy Network Load Balancers, as well as regional Secure Web Proxy proxies.\u003c/p\u003e\n"],["\u003cp\u003eIt allows for the use of Google-managed certificates, which can be automatically issued and renewed, or self-managed certificates, including those issued by third-party CAs or self-signed certificates.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers enhanced control over certificate assignment based on hostnames, supporting up to a million certificates per load balancer, significantly more than Cloud Load Balancing's limitations.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers the ability to manage certificates in a centralized way using the Google Cloud CLI or the API, allowing for advanced control and management.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-managed certificates can be requested directly through Certificate Manager, providing publicly trusted TLS certificates for encrypting internet traffic, and can use DNS authorization.\u003c/p\u003e\n"]]],[],null,["# Certificate Manager overview\n\nCertificate Manager simplifies the acquisition, deployment, and\nmanagement of Transport Layer Security (TLS) certificates.\nCertificate Manager supports deployment of global and regional\ncertificates on Google Cloud load balancers, regional certificates on [Secure Web Proxy](/secure-web-proxy/docs/overview) proxies, and global certificates\non [Media CDN](/media-cdn/docs/overview).\n\nSupported load balancers\n------------------------\n\nGoogle Cloud load balancers that refer to a target HTTPS proxy or a target\nSSL proxy (`TargetSslProxy`) use TLS certificates to encrypt information sent\nover the network.\n\nTo use Certificate Manager, your load balancer must be compatible\nwith the corresponding [Network Service Tier](/network-tiers/docs/overview). For\na comprehensive breakdown of load balancer types and their respective network\nservice tier support, see [Summary of Google Cloud load\nbalancers](/load-balancing/docs/choosing-load-balancer#summary-gclb).\n\nCertificate Manager supports the following load balancer\nresources:\n\nFor more information about the differences between target HTTPS and target SSL\nproxy types, see [Target proxies](/load-balancing/docs/target-proxies).\n\nSupported TLS certificates\n--------------------------\n\nCertificate Manager supports the following types of TLS\ncertificates:\n\n- **Google-managed certificates** : certificates that Google Cloud\n obtains and manages for you. Using Certificate Manager, you\n can automatically issue and renew Google-managed certificates. If you want\n to use your own trust chain rather than rely on public\n certificate authorities (CAs) to issue your certificates, you can configure\n Certificate Manager to [use a CA\n pool](/certificate-authority-service/docs/creating-ca-pool) from the\n Certificate Authority Service as the certificate issuer instead.\n\n- **Self-managed certificates** : certificates that you obtain, provision, and\n renew yourself. You manually upload the certificates to\n Certificate Manager and manage them. You can use certificates\n issued by third-party CAs, or CAs you trust, or your own [self-signed\n certificates](/load-balancing/docs/ssl-certificates/self-managed-certs#create-key-and-cert).\n\nFor more information about the supported certificates, see\n[Certificates](/certificate-manager/docs/how-it-works#certificates).\n\nBenefits\n--------\n\nCertificate Manager offers the following benefits:\n\n**Automation**\n\n- Automatically issue, renew, and manage Google-managed certificates.\n- Provision Google-managed certificates in advance to enable seamless, zero-downtime migrations to Google Cloud.\n\n**Security**\n\n- Securely store and deploy millions of certificates.\n- Secure your configurations with Google-managed certificates, eliminating the need to manage certificate private keys.\n- Implement mutual TLS (mTLS) authentication on your load balancer for enhanced security. For more information, see [Mutual TLS\n overview](/load-balancing/docs/mtls) in the Cloud Load Balancing documentation.\n\n**Flexibility**\n\n- Verify ownership of domains using either DNS-based or load balancer-based authorization methods.\n- Choose between Google-managed certificates (automatically handled by Google) or self-managed certificates (obtained and managed independently).\n- Use the ACME protocol to get publicly trusted certificates for endpoints you manage from the Public Certificate Authority. For more information, see [Public CA](/certificate-manager/docs/public-ca).\n- Manage all certificates in a unified manner using the Google Cloud console, Google Cloud CLI, or the Certificate Manager API.\n- Control certificate assignment and selection based on domain names. This lets you manage and serve larger numbers of certificates than with [Compute Engine SSL certificates](/load-balancing/docs/ssl-certificates#config-tech).\n- Control the assignment and selection of certificates based on hostnames at a granular level.\n\nLimitations\n-----------\n\nCertificate Manager has the following limitations:\n\n- Certificate Manager only supports the Public Certificate Authority and the Let's Encrypt CA for issuing publicly trusted Google-managed certificates.\n- Certificate Manager only supports Certificate Authority Service for issuing privately trusted Google-managed certificates.\n- The number of domains allowed in the Subject Alternative Names (SANs) field for Google-managed certificates is limited to a maximum of 100 when using DNS authorization and to a maximum of five when using load balancer authorization.\n- Google-managed certificates have limitations on the length of supported domain names. For more information, see [Domain name length limitations for\n Google-managed\n certificates](/certificate-manager/docs/quotas#domain_name_length_limitations_for_google-managed_certificates).\n- Certificates with the `ALL_REGIONS` scope don't support load balancer authorization.\n\nWhat's next\n-----------\n\n- [Core components of Certificate Manager](/certificate-manager/docs/core-components)\n- [How Certificate Manager works](/certificate-manager/docs/certificate-selection-logic)"]]
