Descripción general del Administrador de certificados
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Certificate Manager simplifica la adquisición, la implementación y la administración de certificados de seguridad de la capa de transporte (TLS).
El Administrador de certificados admite la implementación de certificados globales y regionales en balanceadores de cargas Google Cloud , certificados regionales en proxies de
Secure Web Proxy y certificados globales en Media CDN.
Balanceadores de cargas compatibles
Google Cloud Los balanceadores de cargas que hacen referencia a un proxy HTTPS de destino o a un proxy SSL de destino (TargetSslProxy) usan certificados TLS para encriptar la información que se envía a través de la red.
Para usar Certificate Manager, tu balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y su compatibilidad con los niveles de servicio de red respectivos, consulta el Resumen de los balanceadores de cargas de Google Cloud .
El Administrador de certificados admite los siguientes recursos de balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy
Balanceador de cargas de aplicaciones externo global
Balanceador de cargas de aplicaciones clásico
Balanceador de cargas de aplicaciones externo regional
Balanceador de cargas de aplicaciones interno regional
Balanceador de cargas de aplicaciones interno entre regiones
Balanceador de cargas de red del proxy externo global
Balanceador de cargas de red del proxy clásico
Para obtener más información sobre las diferencias entre los tipos de proxy SSL y proxy HTTPS de destino, consulta Proxies de destino.
Certificados TLS admitidos
Certificate Manager admite los siguientes tipos de certificados TLS:
Certificados administrados por Google: Son los certificados que Google Cloudobtiene y administra por ti. Con Certificate Manager, puedes emitir y renovar automáticamente certificados administrados por Google. Si quieres usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (CA) públicas para emitir tus certificados, puedes configurar Certificate Manager para que use un grupo de CA de Certificate Authority Service como la entidad emisora de certificados.
Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo. Subes los certificados de forma manual al Administrador de certificados y los administras. Puedes usar certificados emitidos por CA externas, CA en las que confíes o tus propios certificados autofirmados.
Para obtener más información sobre los certificados admitidos, consulta Certificados.
Beneficios
Certificate Manager ofrece los siguientes beneficios:
Automatización
Emitir, renovar y administrar automáticamente los certificados administrados por Google
Aprovisiona certificados administrados por Google con anticipación para habilitar migraciones sin interrupciones y sin tiempo de inactividad a Google Cloud.
Seguridad
Almacena e implementa millones de certificados de forma segura.
Protege tus configuraciones con certificados administrados por Google, lo que elimina la necesidad de administrar claves privadas de certificados.
Implementa la autenticación de TLS mutua (mTLS) en tu balanceador de cargas para mejorar la seguridad. Para obtener más información, consulta la descripción general de TLS mutuo en la documentación de Cloud Load Balancing.
Flexibilidad
Verificar la propiedad de los dominios con métodos de autorización basados en DNS o en balanceadores de cargas
Elige entre los certificados administrados por Google (que Google controla automáticamente) o los certificados autoadministrados (que se obtienen y administran de forma independiente).
Usa el protocolo ACME para obtener certificados de confianza pública para los extremos que administras desde Public Certificate Authority. Para obtener más información, consulta Public CA.
Administra todos los certificados de manera unificada con la Google Cloud consola, Google Cloud CLI o la API de Certificate Manager.
Controlar la asignación y selección de certificados según los nombres de dominio Esto te permite administrar y entregar una mayor cantidad de certificados que con los certificados SSL de Compute Engine.
Controlar la asignación y selección de certificados según los nombres de host a un nivel detallado
Limitaciones
Certificate Manager tiene las siguientes limitaciones:
El Administrador de certificados solo admite Public Certificate Authority y la autoridad certificadora de Let's Encrypt para emitir certificados administrados por Google que sean de confianza pública.
El Administrador de certificados solo admite Certificate Authority Service para emitir certificados administrados por Google con confianza privada.
La cantidad de dominios permitidos en el campo Nombres alternativos del sujeto (SAN) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
Los certificados con el alcance ALL_REGIONS no admiten la autorización del balanceador de cargas.
Cuando usas un balanceador de cargas de aplicaciones externo global o un balanceador de cargas de red de proxy externo global basado en SSL, es posible que experimentes latencias más altas del handshake de TLS en algunas ubicaciones con el Administrador de certificados en comparación con el uso de certificados SSL de Compute Engine.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eCertificate Manager facilitates the acquisition and management of TLS certificates for various load balancer resources, including Application Load Balancers and proxy Network Load Balancers, as well as regional Secure Web Proxy proxies.\u003c/p\u003e\n"],["\u003cp\u003eIt allows for the use of Google-managed certificates, which can be automatically issued and renewed, or self-managed certificates, including those issued by third-party CAs or self-signed certificates.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers enhanced control over certificate assignment based on hostnames, supporting up to a million certificates per load balancer, significantly more than Cloud Load Balancing's limitations.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers the ability to manage certificates in a centralized way using the Google Cloud CLI or the API, allowing for advanced control and management.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-managed certificates can be requested directly through Certificate Manager, providing publicly trusted TLS certificates for encrypting internet traffic, and can use DNS authorization.\u003c/p\u003e\n"]]],[],null,["# Certificate Manager overview\n\nCertificate Manager simplifies the acquisition, deployment, and\nmanagement of Transport Layer Security (TLS) certificates.\nCertificate Manager supports deployment of global and regional\ncertificates on Google Cloud load balancers, regional certificates on [Secure Web Proxy](/secure-web-proxy/docs/overview) proxies, and global certificates\non [Media CDN](/media-cdn/docs/overview).\n\nSupported load balancers\n------------------------\n\nGoogle Cloud load balancers that refer to a target HTTPS proxy or a target\nSSL proxy (`TargetSslProxy`) use TLS certificates to encrypt information sent\nover the network.\n\nTo use Certificate Manager, your load balancer must be compatible\nwith the corresponding [Network Service Tier](/network-tiers/docs/overview). For\na comprehensive breakdown of load balancer types and their respective network\nservice tier support, see [Summary of Google Cloud load\nbalancers](/load-balancing/docs/choosing-load-balancer#summary-gclb).\n\nCertificate Manager supports the following load balancer\nresources:\n\nFor more information about the differences between target HTTPS and target SSL\nproxy types, see [Target proxies](/load-balancing/docs/target-proxies).\n\nSupported TLS certificates\n--------------------------\n\nCertificate Manager supports the following types of TLS\ncertificates:\n\n- **Google-managed certificates** : certificates that Google Cloud\n obtains and manages for you. Using Certificate Manager, you\n can automatically issue and renew Google-managed certificates. If you want\n to use your own trust chain rather than rely on public\n certificate authorities (CAs) to issue your certificates, you can configure\n Certificate Manager to [use a CA\n pool](/certificate-authority-service/docs/creating-ca-pool) from the\n Certificate Authority Service as the certificate issuer instead.\n\n- **Self-managed certificates** : certificates that you obtain, provision, and\n renew yourself. You manually upload the certificates to\n Certificate Manager and manage them. You can use certificates\n issued by third-party CAs, or CAs you trust, or your own [self-signed\n certificates](/load-balancing/docs/ssl-certificates/self-managed-certs#create-key-and-cert).\n\nFor more information about the supported certificates, see\n[Certificates](/certificate-manager/docs/how-it-works#certificates).\n\nBenefits\n--------\n\nCertificate Manager offers the following benefits:\n\n**Automation**\n\n- Automatically issue, renew, and manage Google-managed certificates.\n- Provision Google-managed certificates in advance to enable seamless, zero-downtime migrations to Google Cloud.\n\n**Security**\n\n- Securely store and deploy millions of certificates.\n- Secure your configurations with Google-managed certificates, eliminating the need to manage certificate private keys.\n- Implement mutual TLS (mTLS) authentication on your load balancer for enhanced security. For more information, see [Mutual TLS\n overview](/load-balancing/docs/mtls) in the Cloud Load Balancing documentation.\n\n**Flexibility**\n\n- Verify ownership of domains using either DNS-based or load balancer-based authorization methods.\n- Choose between Google-managed certificates (automatically handled by Google) or self-managed certificates (obtained and managed independently).\n- Use the ACME protocol to get publicly trusted certificates for endpoints you manage from the Public Certificate Authority. For more information, see [Public CA](/certificate-manager/docs/public-ca).\n- Manage all certificates in a unified manner using the Google Cloud console, Google Cloud CLI, or the Certificate Manager API.\n- Control certificate assignment and selection based on domain names. This lets you manage and serve larger numbers of certificates than with [Compute Engine SSL certificates](/load-balancing/docs/ssl-certificates#config-tech).\n- Control the assignment and selection of certificates based on hostnames at a granular level.\n\nLimitations\n-----------\n\nCertificate Manager has the following limitations:\n\n- Certificate Manager only supports the Public Certificate Authority and the Let's Encrypt CA for issuing publicly trusted Google-managed certificates.\n- Certificate Manager only supports Certificate Authority Service for issuing privately trusted Google-managed certificates.\n- The number of domains allowed in the Subject Alternative Names (SANs) field for Google-managed certificates is limited to a maximum of 100 when using DNS authorization and to a maximum of five when using load balancer authorization.\n- Google-managed certificates have limitations on the length of supported domain names. For more information, see [Domain name length limitations for\n Google-managed\n certificates](/certificate-manager/docs/quotas#domain_name_length_limitations_for_google-managed_certificates).\n- Certificates with the `ALL_REGIONS` scope don't support load balancer authorization.\n\nWhat's next\n-----------\n\n- [Core components of Certificate Manager](/certificate-manager/docs/core-components)\n- [How Certificate Manager works](/certificate-manager/docs/certificate-selection-logic)"]]
