El Administrador de certificados te permite adquirir y administrar certificados de seguridad de la capa de transporte (TLS) para usarlos con los siguientes recursos del balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de aplicaciones interno entre regiones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:
- Balanceador de cargas de red del proxy externo global
- Balanceador de cargas de red de proxy clásico
El Administrador de certificados también te permite implementar certificados regionales autoadministrados y regionales administrados por Google en proxies de proxy web seguro.
Para usar el Administrador de certificados, tu balanceador de cargas debe ser compatible con el Nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y sus respectivos niveles de servicio de red, consulta el Resumen de los balanceadores de cargas de Google Cloud.
Puedes emitir y renovar automáticamente certificados administrados por Google con el Administrador de certificados. Si deseas usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (AC) públicas aprobadas por Google para emitir tus certificados, puedes configurar el Administrador de certificados para usar un grupo de AC de Certificate Authority Service como el emisor del certificado.
También puedes subir manualmente los siguientes tipos de certificados:
- Certificados emitidos por las AC de terceros que elijas
- Certificados emitidos por las AC que usted controla
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
El Administrador de certificados almacena y, además, implementa certificados en los proxies seleccionados de forma segura, lo que te permite aprovisionar certificados con anticipación y ayuda a garantizar que no haya tiempo de inactividad durante las migraciones.
Con el Administrador de certificados, puedes implementar hasta millones de certificados porbalanceador de cargasr. Para obtener información sobre las cuotas predeterminadas y cómo aumentarlas, consulta Cuotas y límites.
El mecanismo de asignación flexible del Administrador de certificados te permite controlar de forma precisa la asignación de certificados a nombres de dominio en tu entorno de Google Cloud a gran escala. Puedes administrar y entregar más certificados que con Cloud Load Balancing.
El Administrador de certificados también puede actuar como una AC pública para proporcionar e implementar certificados X.509 de gran confianza después de validar que el solicitante de certificados controla los dominios. El Administrador de certificados te permite solicitar de manera directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que usan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet. Para obtener más información, consulta AC pública.
Tienes la opción de usar la autenticación TLS mutua (mTLS) en el balanceador de cargas. Para obtener más información, consulta Autenticación mutua de TLS en la documentación de Cloud Load Balancing.
Cuándo usar el Administrador de certificados
Certificate Manager tiene las siguientes ventajas en comparación con la asignación directa de certificados TLS (SSL) al balanceador de cargas. El Administrador de certificados te permite hacer lo siguiente:
- Controla la asignación y la selección de certificados basados en nombres de host con un nivel de detalle alto que no esté disponible cuando se usa Cloud Load Balancing.
- Administra todos tus certificados de manera unificada mediante Google Cloud CLI o la API de Certificate Manager.
- Asigna más de 15 certificados por proxy de destino. Certificate Manager admite hasta un millón de certificados por balanceador de cargas.
- Adquiere y renueva de forma automática los certificados administrados por Google en Google Cloud.
- Usa un grupo de AC del servicio de AC como entidad emisora de certificados para los certificados administrados por Google, en lugar de las AC de Google o Let's Encrypt.
- Usa la verificación de propiedad del dominio basada en DNS para los certificados administrados por Google, además del método basado en balanceador de cargas compatibles con Cloud Load Balancing.
- Usa certificados administrados por Google con autorización de DNS para nombres de dominio comodín, por ejemplo,
*.myorg.example.com. Los certificados administrados por Google con autorización del balanceador de cargas no admiten nombres de dominio comodín. - Aprovisiona los certificados administrados por Google por adelantado, lo que permite la migración sin tiempo de inactividad de otro proveedor a Google Cloud.
- Usar Cloud Monitoring para supervisar la propagación y el vencimiento de los certificados
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- Para emitir certificados de confianza pública administrados por Google, el Administrador de certificados solo admite la CA de Google y la CA Let's Encrypt.
- Para emitir certificados de confianza administrados por Google de forma privada, el Administrador de certificados solo admite Certificate Authority Service.
- La cantidad de dominios (Nombres alternativos del asunto) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
- Puedes asociar un máximo de cuatro certificados con una sola entrada del mapa de certificados.
- En el caso de los certificados administrados por Google, existen limitaciones en la longitud de los nombres de dominio que pueden admitir. Para obtener más información sobre las limitaciones de longitud de los nombres de dominio, consulta Limitaciones de longitud de los nombres de dominio para certificados administrados por Google.
- Los certificados con el permiso
ALL_REGIONSno admiten la autorización del balanceador de cargas. - Las siguientes limitaciones se aplican a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede almacenar hasta 100 anclas de confianza.
- Un almacén de confianza puede almacenar hasta 100 certificados de la AC intermedios.