Com o Gerenciador de certificados, é possível adquirir e gerenciar certificados Transport Layer Security (TLS) para uso com os seguintes recursos do balanceador de carga:
Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de aplicativo interno entre regiões
Proxies SSL de destino usados pelos balanceadores de carga de rede do proxy:
- Balanceador de carga de rede de proxy externo global
- Balanceador de carga de rede de proxy clássico
Com o Gerenciador de certificados, também é possível implantar certificados regionais autogerenciados e regionais gerenciados pelo Google em proxies do Secure Web Proxy.
Para usar o Gerenciador de certificados, seu balanceador de carga precisa ser compatível com o Nível de serviço de rede correspondente. Para um detalhamento abrangente dos tipos de balanceador de carga e o respectivo suporte ao nível de serviço de rede, consulte o Resumo dos balanceadores de carga do Google Cloud.
É possível emitir e renovar automaticamente certificados gerenciados pelo Google usando o Gerenciador de certificados. Se você quiser usar sua própria cadeia de confiança em vez de confiar em autoridades de certificação (CAs, na sigla em inglês) públicas aprovadas pelo Google para emitir seus certificados, configure o Gerenciador de certificados para usar um pool de ACs do Certificate Authority Service como emissor do certificado.
Também é possível fazer o upload manual dos seguintes tipos de certificados:
- Certificados emitidos por CAs de terceiros da sua escolha
- Certificados emitidos por CAs sob seu controle
- Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
O Gerenciador de certificados armazena e implanta certificados com segurança nos proxies selecionados, o que permite provisionar certificados com antecedência e garantir inatividade zero durante as migrações.
Com o Gerenciador de certificados, é possível implantar até um milhão de certificados por balanceador de carga. Para informações sobre cotas padrão e como aumentá-las, consulte Cotas e limites.
O mecanismo de mapeamento flexível do Gerenciador de certificados permite controlar com precisão a atribuição de certificados a nomes de domínio no seu ambiente do Google Cloud em grande escala. É possível gerenciar e exibir um número maior de certificados do que com o Cloud Load Balancing.
O Gerenciador de certificados também pode atuar como uma AC pública para fornecer e implantar certificados X.509 amplamente confiáveis depois de validar que o solicitante do certificado controla os domínios. Com o Gerenciador de certificados, é possível solicitar, de maneira direta e programática, certificados TLS publicamente confiáveis que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet. Para mais informações, consulte AC pública.
Você tem a opção de usar a autenticação TLS mútua (mTLS) no seu balanceador de carga. Para mais informações, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Quando usar o Gerenciador de certificados
O Gerenciador de certificados tem as seguintes vantagens em relação à atribuição direta de certificados TLS (SSL) ao balanceador de carga. Com o Gerenciador de certificados, é possível fazer o seguinte:
- Controlar a atribuição e a seleção de certificados com base em nomes de host em um nível altamente granular que não está disponível ao usar o Cloud Load Balancing.
- Gerencie todos os seus certificados de maneira unificada usando a Google Cloud CLI ou a API Certificate Manager.
- Atribuir mais de 15 certificados por proxy de destino. O Gerenciador de certificados oferece suporte a até um milhão de certificados por balanceador de carga.
- Adquira e renove automaticamente certificados gerenciados pelo Google no Google Cloud.
- Use um pool de CAs do serviço de CA como emissor de certificados gerenciados pelo Google em vez das CAs do Google ou do Let's Encrypt.
- Use a verificação de propriedade de domínio baseada em DNS para certificados gerenciados pelo Google, além do método baseado no balanceador de carga compatível com o Cloud Load Balancing.
- Use certificados gerenciados pelo Google com autorização de DNS para nomes de domínio com caracteres curinga, por exemplo,
*.myorg.example.com. Os certificados gerenciados pelo Google com autorização do balanceador de carga não são compatíveis com nomes de domínio curinga. - Provisione com antecedência certificados gerenciados pelo Google, permitindo a migração sem inatividade de outro fornecedor para o Google Cloud.
- Usar o Cloud Monitoring para monitorar a propagação e expiração de certificados.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- Para emitir certificados publicamente confiáveis gerenciados pelo Google, o Gerenciador de certificados oferece suporte apenas à CA do Google e à CA do Let's Encrypt.
- Para emitir certificados particulares e confiáveis gerenciados pelo Google, o Gerenciador de certificados oferece suporte apenas ao Certificate Authority Service.
- O número de domínios (nomes alternativos do assunto) para certificados gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização DNS e a um máximo de cinco quando a autorização do balanceador de carga é usada.
- É possível associar no máximo quatro certificados a uma única entrada de mapa de certificados.
- Para certificados gerenciados pelo Google, há limitações no tamanho dos nomes de domínio que eles podem aceitar. Para mais informações sobre as limitações de tamanho de nomes de domínio, consulte Limitações de tamanho de nome de domínio para certificados gerenciados pelo Google.
- Os certificados com o escopo
ALL_REGIONSnão são compatíveis com a autorização do balanceador de carga. - As seguintes limitações se aplicam a recursos de configuração confiáveis:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode conter até 100 âncoras de confiança.
- Um repositório de confiança pode conter até 100 certificados de CA intermediários.