Gestore certificati consente di acquisire e gestire il Transport Layer Certificati di sicurezza (TLS) da utilizzare con le seguenti risorse del bilanciatore del carico:
Proxy HTTPS di destinazione utilizzati dai bilanciatori del carico delle applicazioni:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico delle applicazioni interno tra regioni
Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico di rete proxy classico
Gestore certificati consente anche di eseguire il deployment autogestito a livello di regione e a livello di regione Proxy Secure Web Proxy.
Per usare Gestore certificati, il bilanciatore del carico deve essere compatibile con il livello di servizio di rete corrispondente. Per un'analisi completa dei tipi di bilanciatore del carico e delle rispettive reti per il supporto del livello di servizio, vedi Riepilogo dei bilanciatori del carico Google Cloud.
Puoi emettere e rinnovare automaticamente i certificati gestiti da Google utilizzando Gestore certificati. Se vuoi usare la tua catena di attendibilità che non affidarsi ad autorità di certificazione pubbliche (CA) approvate da Google per rilasciare i certificati, puoi configurare Gestore certificati in modo che utilizzi un pool di CA Certificate Authority Service come emittente del certificato.
Puoi anche caricare manualmente i seguenti tipi di certificati:
- Certificati emessi da CA di terze parti di tua scelta
- Certificati emessi da CA sotto il tuo controllo
- Certificati autofirmati, come descritto in Crea una chiave privata e un certificato
Gestore certificati archivia ed esegue il deployment in modo sicuro certificati ai proxy selezionati, per eseguire il provisioning dei certificati avanzano e contribuiscono a garantire che non ci siano tempi di inattività durante le migrazioni.
Con Gestore certificati puoi eseguire il deployment e certificati per bilanciatore del carico. Per informazioni sulle quote predefinite come aumentarle, vedi Quote e limiti.
Il meccanismo di mappatura flessibile di Gestore certificati consente di eseguire controllare l'assegnazione dei certificati ai nomi di dominio in Google Cloud dell'ambiente su larga scala. Puoi gestire e pubblicare un numero maggiore di certificati rispetto a Cloud Load Balancing.
Gestore certificati può anche fungere da CA pubblica fornire ed eseguire il deployment di certificati X.509 ampiamente affidabili dopo la convalida che il richiedente del certificato controlli i domini. Gestore certificati consente di gestire in modo diretto e programmatico richiedere certificati TLS pubblicamente attendibili che sono già nella radice di archivi attendibili utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare la connessione a internet per via del traffico. Per ulteriori informazioni, vedi CA pubblica.
Puoi scegliere di utilizzare l'autenticazione TLS reciproca (mTLS) sul bilanciatore del carico. Per ulteriori informazioni per informazioni, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.
Quando utilizzare Gestore certificati
Gestore certificati offre i seguenti vantaggi rispetto all'assegnazione diretta Certificati TLS (SSL) al bilanciatore del carico. Gestore certificati ti consente di:
- Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a un livello molto granulare, che non è disponibile e Cloud Load Balancing.
- Gestisci tutti i tuoi certificati in modo unificato utilizzando Google Cloud CLI o l'API Certificate Manager.
- Assegna più di 15 certificati per proxy di destinazione. Gestore certificati supporta fino a un milione di certificati per con il bilanciatore del carico di rete passthrough esterno regionale.
- Acquisisci e rinnova automaticamente i certificati gestiti da Google entro in Google Cloud.
- Utilizza un pool di CA del servizio CA come emittente del certificato per i certificati gestiti da Google invece che per le CA Google o Let's Encrypt.
- Utilizza la verifica della proprietà del dominio basata su DNS per i certificati gestiti da Google in al metodo basato su bilanciatore del carico supportato da Cloud Load Balancing.
- Utilizza i certificati gestiti da Google con autorizzazione DNS per i nomi di dominio con caratteri jolly, ad esempio
*.myorg.example.com. I certificati gestiti da Google con autorizzazione del bilanciatore del carico non supportano con caratteri jolly. - Esegui il provisioning dei certificati gestiti da Google in anticipo per evitare tempi di inattività migrazione da un altro fornitore a Google Cloud.
- Utilizza Cloud Monitoring per monitorare la propagazione e la scadenza dei certificati.
Limitazioni
Gestore certificati presenta le seguenti limitazioni:
- Per l'emissione di certificati gestiti da Google attendibili pubblicamente, Gestore certificati supporta solo CA di Google e Cripta CA.
- Per l'emissione di certificati gestiti da Google attendibili privatamente, Gestore certificati supporta solo Certificate Authority Service.
- Il numero di domini (nomi del soggetto alternativi) gestiti da Google è limitato a un massimo di 100 quando si utilizza l'autorizzazione DNS e a un massimo di cinque quando si utilizza l'autorizzazione del bilanciatore del carico.
- Puoi associare un massimo di quattro certificati a un singolo certificato. voce della mappa.
- Per i certificati gestiti da Google, la lunghezza è limitata nomi di dominio supportati. Per ulteriori informazioni sulla durata limitazioni dei nomi di dominio, vedi Limiti della lunghezza del nome di dominio per Gestita da Google certificati.
- I certificati con l'ambito
ALL_REGIONSnon supportano il bilanciatore del carico autorizzazione. - Le seguenti limitazioni si applicano alle risorse di configurazione dell'attendibilità:
- Una risorsa di configurazione dell'attendibilità può contenere un singolo archivio di attendibilità.
- Un archivio di attendibilità può contenere fino a 100 trust anchor.
- Un archivio di attendibilità può contenere fino a 100 certificati CA intermedi.