Mit dem Zertifikatmanager können Sie TLS-Zertifikate (Transport Layer Security) zur Verwendung mit den folgenden Load-Balancer-Ressourcen erwerben und verwalten:
Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Regionaler externer Application Load Balancer
- Regionaler interner Application Load Balancer
- Regionsübergreifender interner Application Load Balancer
Ziel-SSL-Proxys, die von Proxy-Network Load Balancern verwendet werden:
- Globaler externer Proxy-Network Load Balancer
- Klassischer Proxy-Network Load Balancer
Mit dem Zertifikatmanager können Sie auch regionale selbstverwaltete und regionale von Google verwaltete Zertifikate auf Secure Web Proxy-Proxys bereitstellen.
Damit Sie den Zertifikatmanager verwenden können, muss Ihr Load-Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load-Balancer-Typen und ihrer jeweiligen Unterstützung für die Netzwerkdienststufe finden Sie in der Zusammenfassung der Load-Balancer von Google Cloud.
Mit dem Zertifikatmanager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt sich auf von Google genehmigte öffentliche Zertifizierungsstellen (CAs) zu verlassen, um Ihre Zertifikate auszustellen, können Sie den Certificate Manager so konfigurieren, dass stattdessen ein CA-Pool der Zertifizierungsstelle als Aussteller verwendet wird.
Sie können die folgenden Arten von Zertifikaten auch manuell hochladen:
- Von Drittanbieter-CAs Ihrer Wahl ausgestellte Zertifikate
- Zertifikate, die von Zertifizierungsstellen ausgestellt wurden, die Ihrer Kontrolle unterliegen
- Selbstsignierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben
Der Zertifikatmanager speichert Zertifikate sicher und stellt sie auf Ihren ausgewählten Proxys bereit. So können Sie Zertifikate im Voraus bereitstellen und dafür sorgen, dass es bei Migrationen zu keinen Ausfallzeiten kommt.
Mit dem Zertifikatmanager können Sie bis zu eine Million Zertifikate pro Load-Balancer bereitstellen. Informationen zu Standardkontingenten und zu deren Erhöhung finden Sie unter Kontingente und Limits.
Mit dem flexiblen Zuordnungsmechanismus des Zertifikatmanagers können Sie die Zuweisung von Zertifikaten zu Domainnamen in Ihrer Google Cloud-Umgebung im großen Maßstab genau steuern. Sie können eine größere Anzahl von Zertifikaten verwalten und bereitstellen als mit Cloud Load Balancing.
Der Zertifikatmanager kann auch als öffentliche Zertifizierungsstelle fungieren, um weit vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem geprüft wurde, ob der Zertifikatsanforderer die Domains steuert. Mit dem Zertifikatmanager können Sie direkt und programmatisch öffentlich vertrauenswürdige TLS-Zertifikate anfordern, die sich bereits im Root of Trust Stores befinden, die von den wichtigsten Browsern, Betriebssystemen und Anwendungen verwendet werden. Sie können diese TLS-Zertifikate zur Authentifizierung und Verschlüsselung des Internettraffics verwenden. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.
Sie haben die Möglichkeit, für Ihren Load-Balancer die gegenseitige TLS-Authentifizierung (mTLS) zu verwenden. Weitere Informationen finden Sie unter Gegenseitige TLS-Authentifizierung in der Dokumentation zu Cloud Load Balancing.
Wann der Zertifikatmanager verwendet wird
Der Zertifikatmanager bietet die folgenden Vorteile gegenüber dem direkten Zuweisen von TLS-Zertifikaten (SSL) an Ihren Load-Balancer. Mit dem Zertifikatmanager können Sie Folgendes tun:
- Die Zuweisung und Auswahl von Zertifikaten auf der Grundlage von Hostnamen lässt sich sehr detailliert steuern, was bei Verwendung von Cloud Load Balancing nicht verfügbar ist.
- Verwalten Sie alle Ihre Zertifikate auf einheitliche Weise mithilfe der Google Cloud CLI oder der Certificate Manager API.
- Weisen Sie mehr als 15 Zertifikate pro Zielproxy zu. Der Zertifikatmanager unterstützt bis zu eine Million Zertifikate pro Load-Balancer.
- Von Google verwaltete Zertifikate in Google Cloud automatisch erwerben und verlängern.
- Verwenden Sie einen CA-Pool aus dem CA-Dienst als Zertifikatsaussteller für von Google verwaltete Zertifikate anstelle der Zertifizierungsstellen von Google oder Let's Encrypt.
- Verwenden Sie die DNS-basierte Bestätigung der Domaininhaberschaft für von Google verwaltete Zertifikate zusätzlich zur Load-Balancer-basierten Methode, die von Cloud Load Balancing unterstützt wird.
- Verwenden Sie von Google verwaltete Zertifikate mit DNS-Autorisierung für Platzhalter-Domainnamen, z. B.
*.myorg.example.com. Von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung unterstützen keine Domainnamen mit Platzhaltern. - Stellen Sie von Google verwaltete Zertifikate im Voraus bereit, um eine Migration von einem anderen Anbieter zu Google Cloud ohne Ausfallzeiten zu ermöglichen.
- Verwenden Sie Cloud Monitoring, um die Weitergabe und den Ablauf von Zertifikaten zu überwachen.
Beschränkungen
Für den Zertifikatmanager gelten folgende Einschränkungen:
- Beim Ausstellen von öffentlich vertrauenswürdigen von Google verwalteten Zertifikaten unterstützt der Zertifikatmanager nur die Google-Zertifizierungsstelle und die Let's Encrypt-Zertifizierungsstelle.
- Zum Ausstellen privat vertrauenswürdiger von Google verwalteter Zertifikate unterstützt der Zertifikatmanager nur den Certificate Authority Service.
- Die Anzahl der Domains (Subject Alternative Names) für von Google verwaltete Zertifikate ist bei Verwendung der DNS-Autorisierung auf maximal 100 und bei Verwendung der Load-Balancer-Autorisierung auf maximal fünf beschränkt.
- Sie können maximal vier Zertifikate mit einem einzelnen Zertifikatzuordnungseintrag verknüpfen.
- Bei von Google verwalteten Zertifikaten gibt es Einschränkungen in Bezug auf die Länge der Domainnamen, die unterstützt werden. Weitere Informationen zu den Längenbeschränkungen von Domainnamen finden Sie unter Längenbeschränkungen für Domainnamen für von Google verwaltete Zertifikate.
- Zertifikate mit dem Bereich
ALL_REGIONSunterstützen keine Load-Balancer-Autorisierung. - Die folgenden Einschränkungen gelten für Konfigurationsressourcen der Vertrauensstellung:
- Eine Konfigurationsressource der Vertrauensstellung kann einen einzelnen Trust Store enthalten.
- Ein Trust Store kann bis zu 100 Trust Anchors enthalten.
- Ein Trust Store kann bis zu 100 CA-Zwischenzertifikate enthalten.