Descripción general del Administrador de certificados

Certificate Manager simplifica la adquisición, la implementación y la administración de certificados de seguridad de la capa de transporte (TLS). El Administrador de certificados admite la implementación de certificados globales y regionales en balanceadores de cargas Google Cloud , certificados regionales en proxies de Secure Web Proxy y certificados globales en Media CDN.

Balanceadores de cargas compatibles

Google Cloud Los balanceadores de cargas que hacen referencia a un proxy HTTPS de destino o a un proxy SSL de destino (TargetSslProxy) usan certificados TLS para encriptar la información que se envía a través de la red.

Para usar Certificate Manager, tu balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y su compatibilidad con los niveles de servicio de red respectivos, consulta el Resumen de los balanceadores de cargas de Google Cloud .

El Administrador de certificados admite los siguientes recursos de balanceador de cargas:

Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones Proxies SSL de destino que usan los balanceadores de cargas de red del proxy
  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico
  • Balanceador de cargas de aplicaciones externo regional
  • Balanceador de cargas de aplicaciones interno regional
  • Balanceador de cargas de aplicaciones interno entre regiones
  • Balanceador de cargas de red del proxy externo global
  • Balanceador de cargas de red del proxy clásico

Para obtener más información sobre las diferencias entre los tipos de proxy SSL y proxy HTTPS de destino, consulta Proxies de destino.

Certificados TLS admitidos

Certificate Manager admite los siguientes tipos de certificados TLS:

  • Certificados administrados por Google: Son los certificados que Google Cloudobtiene y administra por ti. Con Certificate Manager, puedes emitir y renovar automáticamente certificados administrados por Google. Si quieres usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (CA) públicas para emitir tus certificados, puedes configurar Certificate Manager para que use un grupo de CA de Certificate Authority Service como la entidad emisora de certificados.

  • Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo. Subes los certificados de forma manual al Administrador de certificados y los administras. Puedes usar certificados emitidos por CA externas, CA en las que confíes o tus propios certificados autofirmados.

Para obtener más información sobre los certificados admitidos, consulta Certificados.

Beneficios

Certificate Manager ofrece los siguientes beneficios:

Automatización

  • Emitir, renovar y administrar automáticamente los certificados administrados por Google
  • Aprovisiona certificados administrados por Google con anticipación para habilitar migraciones sin interrupciones y sin tiempo de inactividad a Google Cloud.

Seguridad

  • Almacena e implementa millones de certificados de forma segura.
  • Protege tus configuraciones con certificados administrados por Google, lo que elimina la necesidad de administrar claves privadas de certificados.
  • Implementa la autenticación de TLS mutua (mTLS) en tu balanceador de cargas para mejorar la seguridad. Para obtener más información, consulta la descripción general de TLS mutuo en la documentación de Cloud Load Balancing.

Flexibilidad

  • Verificar la propiedad de los dominios con métodos de autorización basados en DNS o en balanceadores de cargas
  • Elige entre los certificados administrados por Google (que Google controla automáticamente) o los certificados autoadministrados (que se obtienen y administran de forma independiente).
  • Usa el protocolo ACME para obtener certificados de confianza pública para los extremos que administras desde Public Certificate Authority. Para obtener más información, consulta Public CA.
  • Administra todos los certificados de manera unificada con la Google Cloud consola, Google Cloud CLI o la API de Certificate Manager.
  • Controlar la asignación y selección de certificados según los nombres de dominio Esto te permite administrar y entregar una mayor cantidad de certificados que con los certificados SSL de Compute Engine.
  • Controlar la asignación y selección de certificados según los nombres de host a un nivel detallado

Limitaciones

Certificate Manager tiene las siguientes limitaciones:

  • El Administrador de certificados solo admite Public Certificate Authority y la autoridad certificadora de Let's Encrypt para emitir certificados administrados por Google que sean de confianza pública.
  • El Administrador de certificados solo admite Certificate Authority Service para emitir certificados administrados por Google con confianza privada.
  • La cantidad de dominios permitidos en el campo Nombres alternativos del sujeto (SAN) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
  • Los certificados administrados por Google tienen limitaciones en la longitud de los nombres de dominio admitidos. Para obtener más información, consulta Limitaciones de longitud del nombre de dominio para certificados administrados por Google.
  • Los certificados con el alcance ALL_REGIONS no admiten la autorización del balanceador de cargas.
  • Cuando usas un balanceador de cargas de aplicaciones externo global o un balanceador de cargas de red de proxy externo global basado en SSL, es posible que experimentes latencias más altas del handshake de TLS en algunas ubicaciones con el Administrador de certificados en comparación con el uso de certificados SSL de Compute Engine.

¿Qué sigue?