O Gerenciador de certificados permite adquirir e gerenciar certificados do Transport Layer Security (TLS) para uso com os seguintes recursos do balanceador de carga:
Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de aplicativo interno entre regiões
Proxies SSL de destino usados pelos balanceadores de carga de rede de proxy:
- Balanceador de carga de rede de proxy externo global
- Balanceador de carga de rede de proxy clássico
O Gerenciador de certificados também permite implantar certificados regionais gerenciados pelo Google e autogerenciados em proxies do proxy seguro da Web.
Para usar o Gerenciador de certificados, o balanceador de carga precisa ser compatível com o Nível de serviço de rede correspondente. Para uma análise detalhada dos tipos de balanceadores de carga e do respectivo suporte ao nível de serviço de rede, consulte Resumo dos balanceadores de carga do Google Cloud.
É possível emitir e renovar automaticamente certificados gerenciados pelo Google usando o Gerenciador de certificados. Se você quiser usar sua própria cadeia de confiança em vez de confiar em autoridades de certificação (CAs) públicas aprovadas pelo Google para emitir certificados, configure o Gerenciador de certificados para usar um pool de CAs do Certificate Authority Service como o emissor do certificado.
Também é possível fazer o upload manual dos seguintes tipos de certificados:
- Certificados emitidos por CAs de terceiros da sua escolha
- Certificados emitidos por CAs sob seu controle
- Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
O Gerenciador de certificados armazena e implanta certificados com segurança nos proxies selecionados, o que permite provisionar certificados com antecipação e ajuda a garantir que não haja inatividade durante as migrações.
Com o Gerenciador de certificados, é possível implantar até um milhão de certificados por balanceador de carga. Para informações sobre cotas padrão e como aumentá-las, consulte Cotas e limites.
O mecanismo de mapeamento flexível do Gerenciador de certificados permite controlar com precisão a atribuição de certificados a nomes de domínio em grande escala no ambiente do Google Cloud. É possível gerenciar e veicular um número maior de certificados do que no Cloud Load Balancing.
O Gerenciador de certificados também pode atuar como uma CA pública para fornecer e implantar certificados X.509 amplamente confiáveis depois de validar que o solicitante do certificado controla os domínios. Com o Gerenciador de certificados, é possível solicitar de maneira direta e programática certificados TLS confiáveis públicos que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet. Para mais informações, consulte AC pública.
Você tem a opção de usar a autenticação TLS mútua (mTLS) no seu balanceador de carga. Para mais informações, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Quando usar o Gerenciador de certificados
O Gerenciador de certificados tem as seguintes vantagens em relação à atribuição direta de certificados TLS (SSL) ao balanceador de carga. Com o Gerenciador de certificados, você pode fazer o seguinte:
- Controle a atribuição e a seleção de certificados com base nos nomes do host em um nível altamente granular que não está disponível ao usar o Cloud Load Balancing.
- Gerencie todos os seus certificados de maneira unificada usando a Google Cloud CLI ou a API Certificate Manager.
- Atribuir mais de 15 certificados por proxy de destino O Gerenciador de certificados oferece suporte a até um milhão de certificados por balanceador de carga.
- Adquira e renove automaticamente certificados gerenciados pelo Google no Google Cloud.
- Use um pool de CAs do serviço de CA como emissor para certificados gerenciados pelo Google em vez das CAs do Google ou da Let's Encrypt.
- Use a verificação de propriedade de domínio baseada em DNS para certificados gerenciados pelo Google, além do método baseado no balanceador de carga compatível com o Cloud Load Balancing.
- Use certificados gerenciados pelo Google com autorização de DNS para nomes de domínio curinga, por exemplo,
*.myorg.example.com. Os certificados gerenciados pelo Google com autorização do balanceador de carga não são compatíveis com nomes de domínio curinga. - Provisione certificados gerenciados pelo Google com antecedência, permitindo a migração sem inatividade de outro fornecedor para o Google Cloud.
- Use o Cloud Monitoring para monitorar a propagação e expiração de certificados.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- Para emitir certificados publicamente confiáveis gerenciados pelo Google, o Gerenciador de certificados oferece suporte apenas à CA do Google e à CA da Let's Encrypt.
- Para emitir certificados particulares e confiáveis gerenciados pelo Google, o Gerenciador de certificados oferece suporte apenas ao Certificate Authority Service.
- O número de domínios (nomes alternativos do assunto) para certificados gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização de DNS e a um máximo de cinco ao usar a autorização do balanceador de carga.
- Você pode associar no máximo quatro certificados a uma única entrada de mapa de certificados.
- Para certificados gerenciados pelo Google, há limitações no comprimento dos nomes de domínio que podem ser aceitos. Para mais informações sobre as limitações de tamanho dos nomes de domínio, consulte Limitações de tamanho de nome de domínio para certificados gerenciados pelo Google.
- Os certificados com o escopo
ALL_REGIONSnão são compatíveis com a autorização do balanceador de carga. - As limitações a seguir se aplicam aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode ter até 100 âncoras de confiança.
- Um repositório de confiança pode conter até 100 certificados de CA intermediários.