Le gestionnaire de certificats vous permet d'acquérir et de gérer la couche transport Des certificats de sécurité (TLS) à utiliser avec les ressources d'équilibreur de charge suivantes:
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge d'application interne interrégional
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Le gestionnaire de certificats vous permet aussi de déployer des ressources et des certificats régionaux gérés par Google Proxys de proxy Web sécurisé
Pour utiliser le gestionnaire de certificats, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour une liste complète des types d'équilibreurs de charge et de leurs réseaux respectifs, niveau de service, consultez le récapitulatif des équilibreurs de charge Google Cloud.
Vous pouvez émettre et renouveler automatiquement les certificats gérés par Google en utilisant Gestionnaire de certificats. Si vous souhaitez utiliser votre propre chaîne de confiance que de dépendre d'autorités de certification (CA) approuvées par Google vos certificats, vous pouvez configurer le gestionnaire de certificats pour utiliser un pool d'autorités de certification Certificate Authority Service en tant qu'émetteur de certificat.
Vous pouvez également importer manuellement les types de certificats suivants:
- Certificats émis par les autorités de certification tierces de votre choix
- Certificats émis par les autorités de certification que vous gérez
- Les certificats autosignés, comme décrit dans Créer une clé privée et un certificat
Le gestionnaire de certificats stocke et déploie vers les proxys sélectionnés, ce qui vous permet de provisionner des certificats dans et garantit l'absence de temps d'arrêt pendant les migrations.
Avec le gestionnaire de certificats, vous pouvez déployer par équilibreur de charge. Pour en savoir plus sur les quotas par défaut comment les augmenter, consultez Quotas et limites.
Le mécanisme de mappage flexible du gestionnaire de certificats vous permet de réaliser contrôler l'attribution de certificats aux noms de domaine dans votre à grande échelle. Vous pouvez gérer et traiter un plus grand nombre de certificats qu'avec Cloud Load Balancing.
Le gestionnaire de certificats peut également agir en tant qu’autorité de certification publique pour fournir et déployer des certificats X.509 largement fiables après avoir validé que le demandeur de certificat contrôle les domaines. Le gestionnaire de certificats vous permet, directement et de manière programmatique, demander des certificats TLS approuvés publiquement qui se trouvent déjà à la racine de magasins de confiance utilisés par les principaux navigateurs, systèmes d’exploitation et applications. Vous pouvez utiliser ces certificats TLS pour vous authentifier et chiffrer du trafic. Pour en savoir plus, consultez Autorité de certification publique :
Vous avez la possibilité d'utiliser l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge. Pour plus consultez la page Authentification TLS mutuelle dans la documentation Cloud Load Balancing.
Quand utiliser le gestionnaire de certificats
Le gestionnaire de certificats présente les avantages suivants par rapport à l'attribution directe des certificats TLS (SSL) à votre équilibreur de charge. Gestionnaire de certificats vous permet d'effectuer les opérations suivantes:
- Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôte à un niveau très précis qui n'est pas disponible Cloud Load Balancing.
- Gérer tous vos certificats de manière unifiée à l'aide de la Google Cloud CLI ou l'API du gestionnaire de certificats.
- Attribuez plus de 15 certificats par proxy cible. Le gestionnaire de certificats prend en charge jusqu'à un million de certificats par à un équilibreur de charge HTTP(S) externe global.
- Obtenez et renouvelez automatiquement les certificats gérés par Google dans Google Cloud.
- Utiliser un pool d'autorités de certification du service CA en tant qu'émetteur de certificat pour les certificats gérés par Google au lieu des CA de Google ou Let's Encrypt.
- Utiliser la validation de la propriété du domaine basée sur le DNS pour les certificats gérés par Google dans en plus de la méthode basée sur un équilibreur de charge et compatible avec Cloud Load Balancing.
- Utilisez des certificats gérés par Google avec une autorisation DNS pour les noms de domaine génériques (par exemple,
*.myorg.example.comLes certificats gérés par Google avec autorisation d'équilibreur de charge ne sont pas compatibles des noms de domaine génériques. - Provisionnez à l'avance les certificats gérés par Google afin d'éviter les temps d'arrêt. la migration d'un autre fournisseur vers Google Cloud.
- Utilisez Cloud Monitoring pour surveiller la propagation et l'expiration des certificats.
Limites
Le gestionnaire de certificats présente les limites suivantes:
- Pour émettre des certificats gérés par Google et approuvés publiquement, Le gestionnaire de certificats ne prend en charge que l'autorité de certification Google et le gestionnaire Chiffrer l'autorité de certification
- Pour émettre des certificats gérés par Google et approuvés de manière privée, Le gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service.
- Nombre de domaines (Subject Alternative Names) pour les domaines gérés par Google de certificats est limitée à un maximum de 100 lors de l’utilisation d’une autorisation DNS et à un maximum de 5 lors de l'utilisation de l'autorisation d'équilibreur de charge.
- Vous pouvez associer jusqu'à quatre certificats à un même certificat. carte.
- Pour les certificats gérés par Google, la longueur noms de domaine qu’ils peuvent prendre en charge. Pour en savoir plus sur la longueur limites des noms de domaine, consultez la section Limites de longueur des noms de domaine pour Géré par Google certificats.
- Les certificats dont le niveau d'accès est
ALL_REGIONSne sont pas compatibles avec l'équilibreur de charge une autorisation. - Les limites suivantes s'appliquent aux ressources de configuration de confiance:
<ph type="x-smartling-placeholder">
- </ph>
- Une ressource de configuration de confiance peut contenir un seul magasin de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 ancres de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 certificats CA intermédiaires.