O Gerenciador de certificados permite adquirir e gerenciar a camada de transporte Certificados de segurança (TLS) para uso com os seguintes recursos do balanceador de carga:
Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de aplicativo interno entre regiões
Proxies SSL de destino usados pelos balanceadores de carga de rede do proxy:
- Balanceador de carga de rede de proxy externo global
- Balanceador de carga de rede de proxy clássico
Com o Gerenciador de certificados, é possível implantar aplicativos regionais autogerenciados regionais gerenciados pelo Google proxies do proxy seguro da Web;
Para usar o Gerenciador de certificados, seu balanceador de carga precisa estar compatíveis com o Nível de serviço de rede correspondente. Confira um detalhamento abrangente dos tipos de balanceador de carga e das respectivas redes suporte a nível de serviço, consulte o Resumo dos balanceadores de carga do Google Cloud.
Para emitir e renovar automaticamente certificados gerenciados pelo Google, use Gerenciador de certificados. Se você quiser usar sua própria cadeia de confiança do que depender de autoridades de certificação (CAs) públicas aprovadas pelo Google para emitir seus certificados, é possível configure o Gerenciador de certificados para usar um pool de ACs da Certificate Authority Service (em inglês) como emissor do certificado.
Também é possível fazer o upload manual dos seguintes tipos de certificados:
- Certificados emitidos por CAs de terceiros da sua escolha
- Certificados emitidos por CAs sob seu controle
- certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
O Gerenciador de certificados armazena e implanta com segurança certificados para seus proxies selecionados, o que permite provisionar certificados em a avançar e ajuda a garantir zero inatividade durante as migrações.
Com o Gerenciador de certificados, é possível implantar até um milhão por balanceador de carga. Para informações sobre cotas padrão e como aumentá-las, consulte Cotas e limites.
O mecanismo de mapeamento flexível do Gerenciador de certificados permite que você controlar a atribuição de certificados a nomes de domínio na sua Google Cloud em um ambiente de nuvem em escala. É possível gerenciar e veicular um número maior de certificados do que com o Cloud Load Balancing.
O Gerenciador de certificados também pode atuar como uma AC pública para fornecer e implantar certificados X.509 amplamente confiáveis após a validação que o solicitante do certificado controla os domínios. O Gerenciador de certificados permite que você, de forma direta e programática, solicitar certificados TLS publicamente confiáveis que já estejam na raiz do repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. Você pode usar esses certificados TLS para autenticar e criptografar do tráfego de entrada. Para mais informações, consulte AC pública.
Você tem a opção de usar a autenticação TLS mútua (mTLS) no seu balanceador de carga. Para mais informações, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Quando usar o Gerenciador de certificados
O Gerenciador de certificados tem as seguintes vantagens em comparação com a atribuição direta certificados TLS (SSL) para o balanceador de carga. Gerenciador de certificados você pode fazer o seguinte:
- Controlar a atribuição e a seleção de certificados com base em nomes de host em um nível altamente granular que não está disponível ao usar Cloud Load Balancing.
- Gerencie todos os seus certificados de maneira unificada usando a Google Cloud CLI ou a API Certificate Manager.
- Atribuir mais de 15 certificados por proxy de destino. O Gerenciador de certificados dá suporte a até um milhão de certificados por de carga HTTP(S) externo global.
- Adquira e renove automaticamente certificados gerenciados pelo Google em Google Cloud.
- Usar um pool de ACs do serviço de AC como o emissor do certificado para certificados gerenciados pelo Google em vez das CAs do Google ou da Let's Encrypt.
- Use a verificação de propriedade de domínio baseada em DNS para certificados gerenciados pelo Google em além do método baseado no balanceador de carga aceito pelo Cloud Load Balancing.
- Use certificados gerenciados pelo Google com autorização de DNS para nomes de domínio com caracteres curinga, por exemplo,
*.myorg.example.com: Os certificados gerenciados pelo Google com autorização do balanceador de carga não têm suporte com caracteres curinga. - Provisione certificados gerenciados pelo Google com antecedência, permitindo tempo zero de inatividade. migração de outro fornecedor para o Google Cloud.
- Usar o Cloud Monitoring para monitorar a propagação e expiração de certificados.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- Para emitir certificados publicamente confiáveis gerenciados pelo Google, O Gerenciador de certificados só oferece suporte à CA do Google e ao Criptografe CA.
- Para emitir certificados gerenciados pelo Google e confiáveis, O Gerenciador de certificados só oferece suporte ao Certificate Authority Service.
- O número de domínios (nomes alternativos do assunto) gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização DNS, e para um máximo de 5 ao usar a autorização do balanceador de carga.
- Você pode associar no máximo quatro certificados a um único certificado entrada do mapa.
- Para certificados gerenciados pelo Google, há limitações no tempo e nomes de domínio compatíveis. Para mais informações sobre a duração limitações de nomes de domínio, consulte Limitações de tamanho de nome de domínio para Gerenciado pelo Google certificados.
- Os certificados com o escopo
ALL_REGIONSnão são compatíveis com o balanceador de carga autorização. - As seguintes limitações se aplicam a recursos de configuração confiáveis:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode conter até 100 âncoras de confiança.
- Um repositório de confiança pode conter até 100 certificados de CA intermediários.