Zertifikatsmanager – Übersicht

Mit dem Zertifikatmanager können Sie TLS-Zertifikate (Transport Layer Security) zur Verwendung mit den folgenden Load-Balancer-Ressourcen erwerben und verwalten:

  • Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:

    • Globaler externer Application Load Balancer
    • Klassischer Application Load Balancer
    • Regionaler externer Application Load Balancer
    • Regionaler interner Application Load Balancer
    • Regionsübergreifender interner Application Load Balancer (Vorschau)
  • Ziel-SSL-Proxys, die von Proxy-Network Load Balancern verwendet werden:

    • Globaler externer Proxy-Network Load Balancer
    • Klassischer Proxy-Network Load Balancer

Mit dem Zertifikatmanager können Sie auch regionale selbstverwaltete und regionale von Google verwaltete Zertifikate auf Secure Web Proxy-Proxys bereitstellen.

Damit Sie den Zertifikatmanager verwenden können, muss Ihr Load-Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load-Balancer-Typen und ihrer jeweiligen Unterstützung für Netzwerkdienststufen finden Sie in der Zusammenfassung der Google Cloud-Load-Balancer.

Mit dem Zertifikatmanager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, um Ihre Zertifikate nicht auf von Google genehmigte öffentliche Zertifizierungsstellen (Certificate Authorities, CAs) zu verlassen, können Sie den Zertifikatsmanager so konfigurieren, dass stattdessen ein CA-Pool des Certificate Authority Service als Zertifikatsaussteller verwendet wird.

Sie können die folgenden Arten von Zertifikaten auch manuell hochladen:

  • Von externen Zertifizierungsstellen Ihrer Wahl ausgestellte Zertifikate
  • Von Zertifizierungsstellen unter Ihrer Kontrolle ausgestellte Zertifikate
  • Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben

Im Zertifikatmanager werden Zertifikate sicher gespeichert und auf Ihren ausgewählten Proxys bereitgestellt. So können Sie Zertifikate im Voraus bereitstellen und dafür sorgen, dass bei Migrationen keine Ausfallzeiten auftreten.

Mit dem Zertifikatmanager können Sie bis zu eine Million Zertifikate pro Load-Balancer bereitstellen. Informationen zu Standardkontingenten und deren Erhöhung finden Sie unter Kontingente und Limits.

Mit dem flexiblen Zuordnungsmechanismus des Zertifikatmanagers können Sie die Zuweisung von Zertifikaten zu Domainnamen in Ihrer Google Cloud-Umgebung in großem Maßstab steuern. Sie können eine größere Anzahl von Zertifikaten als mit Cloud Load Balancing verwalten und bereitstellen.

Der Zertifikatmanager kann auch als öffentliche Zertifizierungsstelle fungieren, um weithin vertrauenswürdige X.509-Zertifikate bereitzustellen und bereitzustellen, nachdem bestätigt wurde, dass der Zertifikatanforderer die Kontrolle über die Domains hat. Mit dem Zertifikatmanager können Sie öffentlich vertrauenswürdige TLS-Zertifikate, die sich bereits im Root of Trust-Store der gängigen Browser, Betriebssysteme und Anwendungen befinden, direkt und programmatisch anfordern. Mit diesen TLS-Zertifikaten können Sie den Internettraffic authentifizieren und verschlüsseln. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.

Sie haben die Möglichkeit, auf Ihrem Load-Balancer die gegenseitige TLS-Authentifizierung (mTLS) zu verwenden. Weitere Informationen finden Sie in der Dokumentation zu Cloud Load Balancing unter Gegenseitige TLS-Authentifizierung.

Wann sollte der Zertifikatmanager verwendet werden?

Der Zertifikatsmanager bietet gegenüber dem Load-Balancer die folgenden Vorteile: TLS-Zertifikate (SSL) werden direkt zugewiesen. Mit dem Zertifikatmanager haben Sie folgende Möglichkeiten:

  • Sie können die Zuweisung und Auswahl von Zertifikaten anhand von Hostnamen auf einer sehr detaillierten Ebene steuern, die bei Verwendung von Cloud Load Balancing nicht verfügbar ist.
  • Sie können alle Zertifikate einheitlich mithilfe der Google Cloud CLI oder der Certificate Manager API verwalten.
  • Weisen Sie mehr als 15 Zertifikaten pro Zielproxy zu. Der Zertifikatmanager unterstützt bis zu eine Million Zertifikate pro Load-Balancer.
  • Von Google verwaltete Zertifikate in Google Cloud automatisch erwerben und verlängern.
  • Verwenden Sie anstelle der Zertifizierungsstellen von Google oder Let's Encrypt einen Zertifizierungsstellenpool des Zertifizierungsstellendienstes als Zertifikatsaussteller für von Google verwaltete Zertifikate.
  • Verwenden Sie zusätzlich zu der von Cloud Load Balancing unterstützten Load-Balancer-basierten Bestätigung der Domaininhaberschaft für von Google verwaltete Zertifikate.
  • Verwenden Sie von Google verwaltete Zertifikate mit DNS-Autorisierung für Platzhalter-Domainnamen, z. B. *.myorg.example.com. Von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung unterstützen keine Platzhalter-Domainnamen.
  • Stellen Sie von Google verwaltete Zertifikate im Voraus bereit, um eine Migration ohne Ausfallzeiten von einem anderen Anbieter zu Google Cloud zu ermöglichen.
  • Verwenden Sie Cloud Monitoring, um die Weitergabe und den Ablauf von Zertifikaten zu überwachen.

Beschränkungen

Für den Zertifikatmanager gelten die folgenden Einschränkungen:

  • Zum Ausstellen öffentlich vertrauenswürdiger, von Google verwalteter Zertifikate unterstützt der Zertifikatsmanager nur die Google-Zertifizierungsstelle und die "Let's Encrypt"-Zertifizierungsstelle.
  • Zum Ausstellen von privat vertrauenswürdigen, von Google verwalteten Zertifikaten unterstützt der Zertifikatsmanager nur den Certificate Authority Service.
  • Die Anzahl der Domains (Subject Alternative Names) für von Google verwaltete Zertifikate ist bei Verwendung der DNS-Autorisierung auf maximal 100 und bei der Load-Balancer-Autorisierung auf maximal fünf begrenzt.
  • Einem Eintrag der Zertifikatszuordnung können maximal vier Zertifikate zugeordnet werden.
  • Bei von Google verwalteten Zertifikaten gibt es Einschränkungen hinsichtlich der Länge von Domainnamen, die unterstützt werden. Weitere Informationen zu Längenbeschränkungen für Domainnamen finden Sie unter Längenbeschränkungen für Domainnamen für von Google verwaltete Zertifikate.
  • Zertifikate mit dem Bereich ALL_REGIONS unterstützen keine Load-Balancer-Autorisierung.
  • Für Ressourcen der Konfiguration von Vertrauensstellungen gelten die folgenden Einschränkungen:
    • Eine Konfigurationsressource der Vertrauensstellung kann einen einzelnen Trust Store enthalten.
    • Ein Trust Store kann bis zu 100 Trust-Anchors speichern.
    • Ein Trust Store kann bis zu 100 Zwischenzertifikate von Zertifizierungsstellen enthalten.

Nächste Schritte