Le gestionnaire de certificats vous permet d'obtenir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources de l'équilibreur de charge suivantes:
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge d'application interne interrégional
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Le gestionnaire de certificats vous permet également de déployer des certificats régionaux autogérés et gérés par Google régionaux sur des proxys proxy Web sécurisé.
Pour utiliser le gestionnaire de certificats, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour obtenir une description complète des types d'équilibreurs de charge et des niveaux de service réseau correspondants, consultez le récapitulatif des équilibreurs de charge Google Cloud.
Vous pouvez émettre et renouveler automatiquement les certificats gérés par Google à l'aide du gestionnaire de certificats. Si vous souhaitez utiliser votre propre chaîne de confiance plutôt que de dépendre d'autorités de certification publiques (CA) approuvées par Google pour émettre vos certificats, vous pouvez configurer le gestionnaire de certificats de sorte qu'il utilise un pool d'autorités de certification de Certificate Authority Service en tant qu'émetteur de certificat.
Vous pouvez également importer manuellement les types de certificats suivants:
- Certificats émis par les autorités de certification tierces de votre choix
- Certificats émis par les autorités de certification que vous gérez
- Certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat
Le gestionnaire de certificats stocke et déploie les certificats de manière sécurisée sur les proxys sélectionnés, ce qui vous permet de provisionner des certificats à l'avance et de garantir un temps d'arrêt nul lors des migrations.
Avec le gestionnaire de certificats, vous pouvez déployer jusqu'à un million de certificats par équilibreur de charge. Pour en savoir plus sur les quotas par défaut et sur la façon de les augmenter, consultez la page Quotas et limites.
Le mécanisme de mappage flexible du gestionnaire de certificats vous permet de contrôler avec précision l'attribution de certificats aux noms de domaine dans votre environnement Google Cloud à grande échelle. Avec Cloud Load Balancing, vous pouvez gérer et diffuser un plus grand nombre de certificats.
Le gestionnaire de certificats peut également agir en tant qu'autorité de certification publique pour fournir et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur contrôle les domaines. Le gestionnaire de certificats vous permet de demander directement et de manière automatisée des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet. Pour en savoir plus, consultez la page Autorité de certification publique.
Vous avez la possibilité d'utiliser l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge. Pour en savoir plus, consultez la page Authentification TLS mutuelle dans la documentation Cloud Load Balancing.
Quand utiliser le gestionnaire de certificats
Le gestionnaire de certificats présente les avantages suivants par rapport à l'attribution directe de certificats TLS (SSL) à votre équilibreur de charge. Le gestionnaire de certificats vous permet d'effectuer les opérations suivantes:
- Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôte à un niveau très précis qui n'est pas disponible lors de l'utilisation de Cloud Load Balancing.
- Gérez tous vos certificats de manière unifiée à l'aide de la Google Cloud CLI ou de l'API Certificate Manager.
- Attribuez plus de 15 certificats par proxy cible. Le gestionnaire de certificats accepte jusqu'à un million de certificats par équilibreur de charge.
- Obtenez et renouvelez automatiquement les certificats gérés par Google dans Google Cloud.
- Utilisez un pool d'autorités de certification du service CA comme émetteur de certificat pour les certificats gérés par Google au lieu des autorités de certification Google ou Let's Encrypt.
- Utilisez la validation de la propriété de domaine basée sur le DNS pour les certificats gérés par Google en plus de la méthode basée sur l'équilibreur de charge compatible avec Cloud Load Balancing.
- Utilisez des certificats gérés par Google avec une autorisation DNS pour les noms de domaine génériques (par exemple,
*.myorg.example.com). Les certificats gérés par Google avec une autorisation d'équilibreur de charge ne sont pas compatibles avec les noms de domaine génériques. - Provisionnez les certificats gérés par Google à l'avance, afin d'effectuer une migration sans temps d'arrêt d'un autre fournisseur vers Google Cloud.
- Utilisez Cloud Monitoring pour surveiller la propagation et l'expiration des certificats.
Limites
Le gestionnaire de certificats présente les limites suivantes:
- Pour émettre des certificats gérés par Google et approuvés publiquement, le gestionnaire de certificats n'est compatible qu'avec l'autorité de certification Google et l'autorité de certification Let's Encrypt.
- Pour émettre des certificats gérés par Google et approuvés de manière privée, le gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service.
- Le nombre de domaines (Noms alternatifs de l'objet) pour les certificats gérés par Google est limité à 100 en cas d'utilisation d'une autorisation DNS et à un maximum de 5 en cas d'utilisation de l'autorisation d'équilibreur de charge.
- Vous pouvez associer un maximum de quatre certificats à une seule entrée de mappage de certificats.
- Pour les certificats gérés par Google, la longueur des noms de domaine qu'ils acceptent est limitée. Pour en savoir plus sur les limites de longueur des noms de domaine, consultez la page Limites de longueur des noms de domaine pour les certificats gérés par Google.
- Les certificats dont le niveau d'accès est
ALL_REGIONSne sont pas compatibles avec l'autorisation d'équilibreur de charge. - Les limites suivantes s'appliquent aux ressources de configuration de confiance :
- Une ressource de configuration de confiance peut contenir un seul magasin de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 ancres de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 certificats CA intermédiaires.