Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Der Zertifikatmanager vereinfacht die Beschaffung, Bereitstellung und Verwaltung von TLS-Zertifikaten (Transport Layer Security).
Certificate Manager unterstützt die Bereitstellung globaler und regionaler Zertifikate auf Google Cloud Load Balancern, regionaler Zertifikate auf
Secure Web Proxy-Proxys und globaler Zertifikate auf Media CDN.
Unterstützte Load-Balancer
Google Cloud Load-Balancer, die auf einen HTTPS-Zielproxy oder einen SSL-Zielproxy (TargetSslProxy) verweisen, verwenden TLS-Zertifikate, um über das Netzwerk gesendete Informationen zu verschlüsseln.
Damit Sie Certificate Manager verwenden können, muss Ihr Load Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load-Balancer-Typen und der jeweiligen Unterstützung für die Netzwerkdienststufe finden Sie unter Zusammenfassung der Google Cloud Load Balancer.
Certificate Manager unterstützt die folgenden Load-Balancer-Ressourcen:
Von Application Load Balancern verwendete Ziel-HTTPS-Proxys
Ziel-SSL-Proxys, die von Proxy-Network-Load-Balancern verwendet werden
Weitere Informationen zu den Unterschieden zwischen HTTPS- und SSL-Zielproxys finden Sie unter Zielproxys.
Unterstützte TLS-Zertifikate
Certificate Manager unterstützt die folgenden Arten von TLS-Zertifikaten:
Von Google verwaltete Zertifikate: Zertifikate, die Google Cloudfür Sie abruft und verwaltet. Mit Certificate Manager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt sich auf öffentliche Zertifizierungsstellen zu verlassen, die Ihre Zertifikate ausstellen, können Sie Certificate Manager so konfigurieren, dass stattdessen ein CA-Pool aus dem Certificate Authority Service als Zertifikataussteller verwendet wird.
Selbstverwaltete Zertifikate: Zertifikate, die Sie selbst beziehen, bereitstellen und verlängern. Sie laden die Zertifikate manuell in den Zertifikatmanager hoch und verwalten sie. Sie können Zertifikate verwenden, die von Drittanbieter-Zertifizierungsstellen oder Zertifizierungsstellen, denen Sie vertrauen, ausgestellt wurden, oder Ihre eigenen selbst signierten Zertifikate.
Weitere Informationen zu den unterstützten Zertifikaten finden Sie unter Zertifikate.
Vorteile
Certificate Manager bietet folgende Vorteile:
Automatisierung
Von Google verwaltete Zertifikate automatisch ausstellen, verlängern und verwalten.
Stellen Sie von Google verwaltete Zertifikate im Voraus bereit, um nahtlose Migrationen zu Google Cloudohne Ausfallzeiten zu ermöglichen.
Sicherheit
Millionen von Zertifikaten sicher speichern und bereitstellen.
Sie können Ihre Konfigurationen mit von Google verwalteten Zertifikaten schützen. So müssen Sie keine privaten Schlüssel für Zertifikate verwalten.
Implementieren Sie die gegenseitige TLS-Authentifizierung (mTLS) auf Ihrem Load Balancer, um die Sicherheit zu erhöhen. Weitere Informationen finden Sie in der Cloud Load Balancing-Dokumentation unter Übersicht über Mutual TLS.
Flexibilität
Bestätigen Sie die Inhaberschaft von Domains mit DNS-basierten oder Loadbalancer-basierten Autorisierungsmethoden.
Sie können zwischen von Google verwalteten Zertifikaten (automatisch von Google verarbeitet) und selbstverwalteten Zertifikaten (unabhängig abgerufen und verwaltet) wählen.
Mit dem ACME-Protokoll können Sie öffentlich vertrauenswürdige Zertifikate für Endpunkte abrufen, die Sie von Public Certificate Authority verwalten. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.
Sie können alle Zertifikate einheitlich über die Google Cloud Console, die Google Cloud CLI oder die Certificate Manager API verwalten.
Zertifikatszuweisung und ‑auswahl anhand von Domainnamen steuern So können Sie mehr Zertifikate verwalten und bereitstellen als mit Compute Engine-SSL-Zertifikaten.
Sie können die Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen auf detaillierter Ebene steuern.
Beschränkungen
Für Certificate Manager gelten die folgenden Einschränkungen:
Der Zertifikatmanager unterstützt nur Public Certificate Authority und die Let's Encrypt-Zertifizierungsstelle für die Ausstellung von öffentlich vertrauenswürdigen, von Google verwalteten Zertifikaten.
Certificate Manager unterstützt nur den Certificate Authority Service zum Ausstellen von privat vertrauenswürdigen, von Google verwalteten Zertifikaten.
Die Anzahl der Domains, die im Feld „Alternative Antragstellernamen (Subject Alternative Names, SANs)“ für von Google verwaltete Zertifikate zulässig ist, ist auf maximal 100 bei Verwendung der DNS-Autorisierung und auf maximal fünf bei Verwendung der Load-Balancer-Autorisierung begrenzt.
Zertifikate mit dem Bereich ALL_REGIONS unterstützen keine Load Balancer-Autorisierung.
Wenn Sie einen globalen externen Application Load Balancer oder einen SSL-basierten globalen externen Proxy-Netzwerk-Load-Balancer verwenden, kann es an einigen Standorten zu höheren TLS-Handshake-Latenzen mit dem Zertifikatmanager kommen als bei der Verwendung von Compute Engine-SSL-Zertifikaten.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-04 (UTC)."],[[["\u003cp\u003eCertificate Manager facilitates the acquisition and management of TLS certificates for various load balancer resources, including Application Load Balancers and proxy Network Load Balancers, as well as regional Secure Web Proxy proxies.\u003c/p\u003e\n"],["\u003cp\u003eIt allows for the use of Google-managed certificates, which can be automatically issued and renewed, or self-managed certificates, including those issued by third-party CAs or self-signed certificates.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers enhanced control over certificate assignment based on hostnames, supporting up to a million certificates per load balancer, significantly more than Cloud Load Balancing's limitations.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers the ability to manage certificates in a centralized way using the Google Cloud CLI or the API, allowing for advanced control and management.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-managed certificates can be requested directly through Certificate Manager, providing publicly trusted TLS certificates for encrypting internet traffic, and can use DNS authorization.\u003c/p\u003e\n"]]],[],null,["# Certificate Manager overview\n\nCertificate Manager simplifies the acquisition, deployment, and\nmanagement of Transport Layer Security (TLS) certificates.\nCertificate Manager supports deployment of global and regional\ncertificates on Google Cloud load balancers, regional certificates on [Secure Web Proxy](/secure-web-proxy/docs/overview) proxies, and global certificates\non [Media CDN](/media-cdn/docs/overview).\n\nSupported load balancers\n------------------------\n\nGoogle Cloud load balancers that refer to a target HTTPS proxy or a target\nSSL proxy (`TargetSslProxy`) use TLS certificates to encrypt information sent\nover the network.\n\nTo use Certificate Manager, your load balancer must be compatible\nwith the corresponding [Network Service Tier](/network-tiers/docs/overview). For\na comprehensive breakdown of load balancer types and their respective network\nservice tier support, see [Summary of Google Cloud load\nbalancers](/load-balancing/docs/choosing-load-balancer#summary-gclb).\n\nCertificate Manager supports the following load balancer\nresources:\n\nFor more information about the differences between target HTTPS and target SSL\nproxy types, see [Target proxies](/load-balancing/docs/target-proxies).\n\nSupported TLS certificates\n--------------------------\n\nCertificate Manager supports the following types of TLS\ncertificates:\n\n- **Google-managed certificates** : certificates that Google Cloud\n obtains and manages for you. Using Certificate Manager, you\n can automatically issue and renew Google-managed certificates. If you want\n to use your own trust chain rather than rely on public\n certificate authorities (CAs) to issue your certificates, you can configure\n Certificate Manager to [use a CA\n pool](/certificate-authority-service/docs/creating-ca-pool) from the\n Certificate Authority Service as the certificate issuer instead.\n\n- **Self-managed certificates** : certificates that you obtain, provision, and\n renew yourself. You manually upload the certificates to\n Certificate Manager and manage them. You can use certificates\n issued by third-party CAs, or CAs you trust, or your own [self-signed\n certificates](/load-balancing/docs/ssl-certificates/self-managed-certs#create-key-and-cert).\n\nFor more information about the supported certificates, see\n[Certificates](/certificate-manager/docs/how-it-works#certificates).\n\nBenefits\n--------\n\nCertificate Manager offers the following benefits:\n\n**Automation**\n\n- Automatically issue, renew, and manage Google-managed certificates.\n- Provision Google-managed certificates in advance to enable seamless, zero-downtime migrations to Google Cloud.\n\n**Security**\n\n- Securely store and deploy millions of certificates.\n- Secure your configurations with Google-managed certificates, eliminating the need to manage certificate private keys.\n- Implement mutual TLS (mTLS) authentication on your load balancer for enhanced security. For more information, see [Mutual TLS\n overview](/load-balancing/docs/mtls) in the Cloud Load Balancing documentation.\n\n**Flexibility**\n\n- Verify ownership of domains using either DNS-based or load balancer-based authorization methods.\n- Choose between Google-managed certificates (automatically handled by Google) or self-managed certificates (obtained and managed independently).\n- Use the ACME protocol to get publicly trusted certificates for endpoints you manage from the Public Certificate Authority. For more information, see [Public CA](/certificate-manager/docs/public-ca).\n- Manage all certificates in a unified manner using the Google Cloud console, Google Cloud CLI, or the Certificate Manager API.\n- Control certificate assignment and selection based on domain names. This lets you manage and serve larger numbers of certificates than with [Compute Engine SSL certificates](/load-balancing/docs/ssl-certificates#config-tech).\n- Control the assignment and selection of certificates based on hostnames at a granular level.\n\nLimitations\n-----------\n\nCertificate Manager has the following limitations:\n\n- Certificate Manager only supports the Public Certificate Authority and the Let's Encrypt CA for issuing publicly trusted Google-managed certificates.\n- Certificate Manager only supports Certificate Authority Service for issuing privately trusted Google-managed certificates.\n- The number of domains allowed in the Subject Alternative Names (SANs) field for Google-managed certificates is limited to a maximum of 100 when using DNS authorization and to a maximum of five when using load balancer authorization.\n- Google-managed certificates have limitations on the length of supported domain names. For more information, see [Domain name length limitations for\n Google-managed\n certificates](/certificate-manager/docs/quotas#domain_name_length_limitations_for_google-managed_certificates).\n- Certificates with the `ALL_REGIONS` scope don't support load balancer authorization.\n\nWhat's next\n-----------\n\n- [Core components of Certificate Manager](/certificate-manager/docs/core-components)\n- [How Certificate Manager works](/certificate-manager/docs/certificate-selection-logic)"]]
