El Administrador de certificados te permite adquirir y administrar certificados de seguridad de la capa de transporte (TLS) para usarlos con los siguientes recursos del balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones:
- Balanceador de cargas de aplicaciones externo global
- Balanceador de cargas de aplicaciones clásico
- Balanceador de cargas de aplicaciones externo regional
- Balanceador de cargas de aplicaciones interno regional
- Balanceador de cargas de aplicaciones interno entre regiones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy:
- Balanceador de cargas de red de proxy externo global
- Balanceador de cargas de red de proxy clásico
El administrador de certificados también te permite implementar certificados regionales autoadministrados y regionales administrados por Google en proxies de proxy web seguro.
Para usar el Administrador de certificados, tu balanceador de cargas debe ser compatible con el Nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y su respectiva compatibilidad con el nivel de servicio de red, consulta Resumen de los balanceadores de cargas de Google Cloud.
Puedes emitir y renovar automáticamente certificados administrados por Google con el Administrador de certificados. Si deseas usar tu propia cadena de confianza en lugar de depender de las autoridades certificadoras públicas (AC) aprobadas por Google para emitir los certificados, puedes configurar el Administrador de certificados para que use un grupo de AC de Certificate Authority Service como entidad emisora de certificados.
También puedes subir manualmente los siguientes tipos de certificados:
- Certificados emitidos por las AC de terceros que elijas
- Certificados emitidos por CA bajo tu control
- Certificados autofirmados, como se describe en Crea una clave privada y un certificado
El Administrador de certificados almacena y, además, implementa certificados en los proxies seleccionados, lo que te permite aprovisionar certificados por adelantado y ayuda a garantizar cero tiempo de inactividad durante las migraciones.
Con el Administrador de certificados, puedes implementar hasta un millón de certificados por balanceador de cargas. Para obtener información sobre las cuotas predeterminadas y cómo aumentarlas, consulta Cuotas y límites.
El mecanismo de asignación flexible del Administrador de certificados te permite controlar con precisión la asignación de certificados a los nombres de dominio en tu entorno de Google Cloud a gran escala. Puedes administrar y entregar una mayor cantidad de certificados que con Cloud Load Balancing.
El Administrador de certificados también puede actuar como una AC pública para proporcionar e implementar certificados X.509 de gran confianza después de validar que el solicitante de certificados controla los dominios. El Administrador de certificados te permite solicitar de forma directa y programática certificados TLS de confianza pública que ya se encuentran en la raíz de los almacenes de confianza que utilizan los principales navegadores, sistemas operativos y aplicaciones. Puedes usar estos certificados TLS para autenticar y encriptar el tráfico de Internet. Para obtener más información, consulta AC pública.
Tienes la opción de usar la autenticación TLS mutua (mTLS) en el balanceador de cargas. Para obtener más información, consulta Autenticación mutua de TLS en la documentación de Cloud Load Balancing.
Cuándo usar el Administrador de certificados
Certificate Manager tiene las siguientes ventajas en comparación con la asignación directa de certificados TLS (SSL) al balanceador de cargas. El Administrador de certificados te permite hacer lo siguiente:
- Controla la asignación y selección de certificados según los nombres de host a un nivel muy detallado que no está disponible cuando se usa Cloud Load Balancing.
- Administra todos tus certificados de manera unificada con Google Cloud CLI o la API de Certificate Manager.
- Asigna más de 15 certificados por proxy de destino. El Administrador de certificados admite hasta un millón de certificados por balanceador de cargas.
- Adquiere y renueva automáticamente los certificados administrados por Google en Google Cloud.
- Usa un grupo de AC del servicio de CA como emisor de certificados para los certificados administrados por Google, en lugar de las AC de Google o Let's Encrypt.
- Usa la verificación de propiedad del dominio basada en DNS para los certificados administrados por Google, además del método basado en balanceador de cargas compatible con Cloud Load Balancing.
- Usa certificados administrados por Google con autorización de DNS para nombres de dominio comodín, por ejemplo,
*.myorg.example.com. Los certificados administrados por Google con autorización del balanceador de cargas no admiten nombres de dominio comodín. - Aprovisiona los certificados administrados por Google por adelantado, lo que permite la migración sin tiempo de inactividad de otro proveedor a Google Cloud.
- Usar Cloud Monitoring para supervisar la propagación y el vencimiento de los certificados
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- Para la emisión de certificados de confianza pública administrados por Google, el Administrador de certificados solo admite la CA de Google y la CA de Let's Encrypt.
- Para emitir certificados privados administrados por Google de confianza, el Administrador de certificados solo admite Certificate Authority Service.
- La cantidad de dominios (Nombres alternativos de sujeto) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
- Puedes asociar un máximo de cuatro certificados con una sola entrada de mapa de certificados.
- Para los certificados administrados por Google, existen limitaciones en la longitud de los nombres de dominio que pueden admitir. Para obtener más información sobre las limitaciones de longitud de los nombres de dominio, consulta Limitaciones de longitud de los nombres de dominio para los certificados administrados por Google.
- Los certificados con el permiso
ALL_REGIONSno admiten la autorización del balanceador de cargas. - Las siguientes limitaciones se aplican a los recursos de configuración de confianza:
- Un recurso de configuración de confianza puede contener un solo almacén de confianza.
- Un almacén de confianza puede almacenar hasta 100 anclas de confianza.
- Un almacén de confianza puede contener hasta 100 certificados de la AC intermedios.