Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes:
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
- Équilibreur de charge d'application externe global
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge d'application interne interrégional
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Le gestionnaire de certificats vous permet également de déployer des certificats régionaux autogérés et régionaux gérés par Google sur des proxys proxy Web sécurisé.
Pour que vous puissiez utiliser le gestionnaire de certificats, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour obtenir une présentation complète des types d'équilibreurs de charge et de leur compatibilité avec les niveaux de service réseau respectifs, consultez la page Récapitulatif des équilibreurs de charge Google Cloud.
Vous pouvez émettre et renouveler automatiquement des certificats gérés par Google à l'aide du gestionnaire de certificats. Si vous souhaitez utiliser votre propre chaîne de confiance plutôt que des autorités de certification publiques approuvées par Google pour délivrer vos certificats, vous pouvez configurer le gestionnaire de certificats de sorte qu'il utilise un pool d'autorités de certification de Certificate Authority Service en tant qu'émetteur de certificats.
Vous pouvez également importer manuellement les types de certificats suivants:
- Certificats émis par les autorités de certification tierces de votre choix
- Certificats émis par les autorités de certification que vous gérez
- Les certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat
Le gestionnaire de certificats stocke et déploie les certificats de manière sécurisée sur les proxys sélectionnés, ce qui vous permet de provisionner des certificats à l'avance et de garantir un temps d'arrêt pendant les migrations.
Avec le gestionnaire de certificats, vous pouvez déployer jusqu'à un million de certificats par équilibreur de charge. Pour en savoir plus sur les quotas par défaut et leur augmentation, consultez la page Quotas et limites.
Le mécanisme de mappage flexible du gestionnaire de certificats vous permet de contrôler avec précision l'attribution des certificats aux noms de domaine dans votre environnement Google Cloud à grande échelle. Vous pouvez gérer et diffuser un plus grand nombre de certificats qu'avec Cloud Load Balancing.
Le gestionnaire de certificats peut également agir en tant qu'autorité de certification publique pour fournir et déployer des certificats X.509 largement approuvés après avoir vérifié que le demandeur de certificat contrôle les domaines. Le gestionnaire de certificats vous permet de demander directement et de manière automatisée des certificats TLS publiquement approuvés qui se trouvent déjà à la racine des magasins de confiance utilisés par les principaux navigateurs, systèmes d'exploitation et applications. Vous pouvez utiliser ces certificats TLS pour authentifier et chiffrer le trafic Internet. Pour en savoir plus, consultez la section Autorités de certification publiques.
Vous avez la possibilité d'utiliser l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge. Pour en savoir plus, consultez la page Authentification TLS mutuelle dans la documentation Cloud Load Balancing.
Quand utiliser le gestionnaire de certificats ?
Le gestionnaire de certificats présente les avantages suivants par rapport à l'attribution directe de certificats TLS (SSL) à votre équilibreur de charge. Le gestionnaire de certificats vous permet d'effectuer les opérations suivantes:
- Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôte à un niveau très précis qui n'est pas disponible avec Cloud Load Balancing.
- Gérez tous vos certificats de manière unifiée à l'aide de la Google Cloud CLI ou de l'API Certificate Manager.
- Attribuez plus de 15 certificats à chaque proxy cible. Le gestionnaire de certificats accepte jusqu'à un million de certificats par équilibreur de charge.
- Obtenez et renouvelez automatiquement les certificats gérés par Google dans Google Cloud.
- Utilisez un pool d'autorités de certification du service d'autorités de certification en tant qu'émetteur des certificats gérés par Google au lieu des autorités de certification Google ou Let's Encrypt.
- Utilisez la validation de la propriété du domaine basée sur DNS pour les certificats gérés par Google en plus de la méthode basée sur l'équilibreur de charge compatible avec Cloud Load Balancing.
- Utilisez des certificats gérés par Google avec une autorisation DNS pour les noms de domaine génériques, par exemple
*.myorg.example.com. Les certificats gérés par Google avec autorisation pour l'équilibreur de charge ne sont pas compatibles avec les noms de domaine génériques. - Provisionnez à l'avance les certificats gérés par Google, permettant ainsi la migration d'un autre fournisseur vers Google Cloud sans aucun temps d'arrêt.
- Utilisez Cloud Monitoring pour surveiller la propagation et l'expiration des certificats.
Limites
Le gestionnaire de certificats présente les limites suivantes:
- Pour émettre des certificats gérés par Google qui sont publiquement approuvés, le gestionnaire de certificats n'est compatible qu'avec l'autorité de certification Google et l'autorité de certification Let's Encrypt.
- Pour émettre des certificats gérés par Google qui sont approuvés de manière privée, le gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service.
- Le nombre de domaines ("Subject Alternative Names") pour les certificats gérés par Google est limité à 100 lorsque vous utilisez l'autorisation DNS et à 5 lorsque vous utilisez l'autorisation via un équilibreur de charge.
- Vous pouvez associer jusqu'à quatre certificats à une même entrée de mappage de certificat.
- Pour les certificats gérés par Google, la longueur des noms de domaine qu'ils peuvent accepter est limitée. Pour en savoir plus sur les limites de longueur des noms de domaine, consultez la section Limites de longueur des noms de domaine pour les certificats gérés par Google.
- Les certificats du niveau d'accès
ALL_REGIONSne sont pas compatibles avec l'autorisation de l'équilibreur de charge. - Les limites suivantes s'appliquent aux ressources de configuration de confiance :
- Une ressource de configuration de confiance peut contenir un seul store de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 ancres de confiance.
- Un magasin de confiance peut contenir jusqu'à 100 certificats CA intermédiaires.