Présentation du gestionnaire de certificats

Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes:

  • Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:

    • Équilibreur de charge d'application externe global
    • Équilibreur de charge d'application classique
    • Équilibreur de charge d'application externe régional
    • Équilibreur de charge d'application interne régional
    • Équilibreur de charge d'application interne interrégional
  • Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:

    • Équilibreur de charge réseau proxy externe global
    • Équilibreur de charge réseau proxy classique

Le gestionnaire de certificats vous permet également de déployer des certificats régionaux autogérés et gérés par Google sur des proxys Secure Web Proxy.

Pour utiliser le Gestionnaire de certificats, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour obtenir une analyse complète des types d'équilibreurs de charge et de leur compatibilité avec les niveaux de service réseau respectifs, consultez le Récapitulatif des équilibreurs de charge Google Cloud .

Vous pouvez émettre et renouveler automatiquement des certificats gérés par Google à l'aide du gestionnaire de certificats. Si vous souhaitez utiliser votre propre chaîne de confiance plutôt que de vous appuyer sur des autorités de certification publiques approuvées par Google pour émettre vos certificats, vous pouvez configurer le Gestionnaire de certificats pour qu'il utilise un pool d'autorités de certification du service d'autorité de certification comme émetteur de certificats.

Vous pouvez également importer manuellement les types de certificats suivants:

  • Certificats émis par des autorités de certification tierces de votre choix
  • Certificats émis par des autorités de certification sous votre contrôle
  • Certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat

Le Gestionnaire de certificats stocke et déploie de manière sécurisée les certificats sur les proxys de votre choix. Vous pouvez ainsi provisionner les certificats à l'avance et éviter tout temps d'arrêt lors des migrations.

Avec le Gestionnaire de certificats, vous pouvez déployer jusqu'à un million de certificats par équilibreur de charge. Pour en savoir plus sur les quotas par défaut et leur augmentation, consultez la section Quotas et limites.

Le mécanisme de mappage flexible du Gestionnaire de certificats vous permet de contrôler précisément l'attribution de certificats aux noms de domaine dans votre environnement Google Cloudà grande échelle. Vous pouvez gérer et diffuser un plus grand nombre de certificats qu'avec Cloud Load Balancing.

Le Gestionnaire de certificats peut également agir en tant qu'autorité de certification publique pour fournir et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Le Gestionnaire de certificats vous permet de demander directement et par programmation des certificats TLS approuvés publiquement qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet. Pour en savoir plus, consultez la section Autorité de certification publique.

Vous pouvez utiliser l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge. Pour en savoir plus, consultez la section Authentification TLS mutuelle dans la documentation Cloud Load Balancing.

Quand utiliser le Gestionnaire de certificats ?

Le Gestionnaire de certificats présente les avantages suivants par rapport à l'attribution directe de certificats TLS (SSL) à votre équilibreur de charge : Le gestionnaire de certificats vous permet d'effectuer les opérations suivantes:

  • Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôtes à un niveau très précis, qui n'est pas disponible lorsque vous utilisez Cloud Load Balancing.
  • Gérez tous vos certificats de manière unifiée à l'aide de la Google Cloud CLI ou de l'API Certificate Manager.
  • Attribuer plus de 15 certificats par proxy cible Le Gestionnaire de certificats accepte jusqu'à un million de certificats par équilibreur de charge.
  • Obtenez et renouvelez automatiquement les certificats gérés par Google dansGoogle Cloud.
  • Utilisez un pool d'autorités de certification du service CA en tant qu'émetteur de certificats pour les certificats gérés par Google au lieu des autorités de certification Google ou Let's Encrypt.
  • Utilisez la validation de la propriété de domaine basée sur DNS pour les certificats gérés par Google en plus de la méthode basée sur l'équilibreur de charge compatible avec Cloud Load Balancing.
  • Utilisez des certificats gérés par Google avec une autorisation DNS pour les noms de domaine génériques (par exemple, *.myorg.example.com). Les certificats gérés par Google avec une autorisation d'équilibreur de charge ne sont pas compatibles avec les noms de domaine avec des caractères génériques.
  • Provisionnez les certificats gérés par Google à l'avance, ce qui permet de migrer d'un autre fournisseur vers Google Cloudsans temps d'arrêt.
  • Utilisez Cloud Monitoring pour surveiller la propagation et l'expiration des certificats.

Limites

Le Gestionnaire de certificats présente les limites suivantes:

  • Pour l'émission de certificats gérés par Google approuvés publiquement, le Gestionnaire de certificats n'est compatible qu'avec l'autorité de certification Google et l'autorité de certification Let's Encrypt.
  • Pour l'émission de certificats gérés par Google approuvés de manière privée, le Gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service.
  • Le nombre de domaines (noms d'hôte alternatifs de l'objet) pour les certificats gérés par Google est limité à 100 maximum lorsque vous utilisez l'autorisation DNS et à cinq maximum lorsque vous utilisez l'autorisation d'équilibreur de charge.
  • Vous pouvez associer un maximum de quatre certificats à une seule entrée de mappage de certificats.
  • Les certificats gérés par Google sont soumis à des limites de longueur pour les noms de domaine qu'ils peuvent prendre en charge. Pour en savoir plus sur les limites de longueur des noms de domaine, consultez la section Limites de longueur des noms de domaine pour les certificats gérés par Google.
  • Les certificats avec la portée ALL_REGIONS ne sont pas compatibles avec l'autorisation d'équilibreur de charge.
  • Les limites suivantes s'appliquent aux ressources de configuration de confiance :
    • Une ressource de configuration de confiance ne peut contenir qu'un seul magasin de confiance.
    • Un magasin de confiance peut contenir jusqu'à 100 ancres de confiance.
    • Un truststore peut contenir jusqu'à 100 certificats CA intermédiaires.

Étape suivante