El Administrador de certificados te permite adquirir y administrar certificados de seguridad de la capa de transporte (TLS) para usarlos con los siguientes recursos de balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de aplicaciones interno entre regiones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:
- Balanceador de cargas de red del proxy externo global
- Balanceador de cargas de red del proxy clásico
El Administrador de certificados también te permite implementar certificados autoadministrados regionales y regionales administrados por Google en proxies de Secure Web Proxy.
Para usar el Administrador de certificados, el balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceadores de cargas y su respectiva compatibilidad con los niveles de servicio de red, consulta Resumen de los Google Cloud balanceadores de cargas.
Puedes emitir y renovar automáticamente los certificados administrados por Google con el Administrador de certificados. Si deseas usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (AC) públicas aprobadas por Google para emitir tus certificados, puedes configurar el Administrador de certificados para que use un grupo de AC del Servicio de autoridad certificadora como emisor de certificados.
También puedes subir manualmente los siguientes tipos de certificados:
- Los certificados emitidos por CA de terceros que elijas
- Certificados emitidos por AC que están bajo tu control
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
El Administrador de certificados almacena y, luego, implementa de forma segura los certificados en los proxies seleccionados, lo que te permite aprovisionarlos con anticipación y ayuda a garantizar que no haya tiempo de inactividad durante las migraciones.
Con el Administrador de certificados, puedes implementar hasta un millón de certificados por balanceador de cargas. Para obtener información sobre las cuotas predeterminadas y cómo aumentarlas, consulta Cuotas y límites.
El mecanismo de asignación flexible del Administrador de certificados te permite controlar de manera detallada la asignación de certificados a nombres de dominio en tu entorno Google Clouda gran escala. Puedes administrar y entregar una mayor cantidad de certificados que con Cloud Load Balancing.
El Administrador de certificados también puede actuar como una AC pública para proporcionar e implementar certificados X.509 de confianza general después de validar que el solicitante del certificado controle los dominios. El Administrador de certificados te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet. Para obtener más información, consulta AC pública.
Tienes la opción de usar la autenticación de TLS mutua (mTLS) en tu balanceador de cargas. Para obtener más información, consulta Autenticación TLS mutua en la documentación de Cloud Load Balancing.
Cuándo usar el Administrador de certificados
El Administrador de certificados tiene las siguientes ventajas sobre la asignación directa de certificados TLS (SSL) a tu balanceador de cargas. El Administrador de certificados te permite hacer lo siguiente:
- Controlar la asignación y selección de certificados según los nombres de host a un nivel muy detallado que no está disponible cuando se usa Cloud Load Balancing
- Administra todos tus certificados de forma unificada con Google Cloud CLI o la API de Certificate Manager.
- Asignar más de 15 certificados por proxy de destino El Administrador de certificados admite hasta un millón de certificados por balanceador de cargas.
- Adquiere y renueva automáticamente los certificados administrados por Google enGoogle Cloud.
- Usa un grupo de AC del servicio de AC como emisor de certificados para los certificados administrados por Google en lugar de las AC de Google o Let's Encrypt.
- Usa la verificación de propiedad de dominio basada en DNS para los certificados administrados por Google, además del método basado en el balanceador de cargas que admite Cloud Load Balancing.
- Usa certificados administrados por Google con autorización de DNS para nombres de dominio con comodines, por ejemplo,
*.myorg.example.com. Los certificados administrados por Google con autorización de balanceador de cargas no admiten nombres de dominio comodín. - Aprovisiona certificados administrados por Google con anticipación, lo que permite la migración sin tiempo de inactividad de otro proveedor a Google Cloud.
- Usa Cloud Monitoring para supervisar la propagación y el vencimiento de los certificados.
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- Para emitir certificados administrados por Google de confianza pública, el Administrador de certificados solo admite la AC de Google y la AC de Let's Encrypt.
- Para emitir certificados de confianza privados administrados por Google, el Administrador de certificados solo admite el servicio de la AC.
- La cantidad de dominios (nombres alternativos de sujeto) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización de balanceador de cargas.
- Puedes asociar un máximo de cuatro certificados con una sola entrada de mapa de certificados.
- En el caso de los certificados administrados por Google, existen limitaciones en la longitud de los nombres de dominio que pueden admitir. Para obtener más información sobre las limitaciones de longitud de los nombres de dominio, consulta Limitaciones de longitud de nombres de dominio para certificados administrados por Google.
- Los certificados con el alcance
ALL_REGIONSno admiten la autorización del balanceador de cargas. - Se aplican las siguientes limitaciones a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede contener hasta 100 anclas de confianza.
- Un almacén de confianza puede contener hasta 100 certificados de AC intermedios.