Présentation du gestionnaire de certificats

Le gestionnaire de certificats simplifie l'acquisition, le déploiement et la gestion des certificats TLS (Transport Layer Security). Le gestionnaire de certificats permet de déployer des certificats globaux et régionaux sur les équilibreurs de charge Google Cloud , des certificats régionaux sur les proxys Secure Web Proxy et des certificats globaux sur Media CDN.

Équilibreurs de charge compatibles

Les équilibreurs de chargeGoogle Cloud qui font référence à un proxy HTTPS cible ou à un proxy SSL cible (TargetSslProxy) utilisent des certificats TLS pour chiffrer les informations envoyées sur le réseau.

Pour utiliser Certificate Manager, votre équilibreur de charge doit être compatible avec le niveau de service réseau correspondant. Pour obtenir une présentation détaillée des types d'équilibreurs de charge et de leur compatibilité avec les niveaux de service réseau, consultez Récapitulatif des équilibreurs de charge Google Cloud .

Le Gestionnaire de certificats est compatible avec les ressources d'équilibreur de charge suivantes :

Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy
  • Équilibreur de charge d'application externe global
  • Équilibreur de charge d'application classique
  • Équilibreur de charge d'application externe régional
  • Équilibreur de charge d'application interne régional
  • Équilibreur de charge d'application interne interrégional
  • Équilibreur de charge réseau proxy externe global
  • Équilibreur de charge réseau proxy classique

Pour en savoir plus sur les différences entre les types de proxy HTTPS cible et SSL cible, consultez Proxys cibles.

Certificats TLS acceptés

Le gestionnaire de certificats est compatible avec les types de certificats TLS suivants :

  • Certificats gérés par Google : certificats que Google Cloudobtient et gère pour vous. Le gestionnaire de certificats vous permet d'émettre et de renouveler automatiquement des certificats gérés par Google. Si vous souhaitez utiliser votre propre chaîne de confiance au lieu de vous appuyer sur des autorités de certification (AC) publiques pour émettre vos certificats, vous pouvez configurer Certificate Manager pour qu'il utilise un pool d'AC du Certificate Authority Service comme émetteur de certificats.

  • Certificats autogérés : certificats que vous obtenez, provisionnez et renouvelez vous-même. Vous importez manuellement les certificats dans le gestionnaire de certificats et les gérez. Vous pouvez utiliser des certificats émis par des autorités de certification tierces ou des autorités de certification auxquelles vous faites confiance, ou vos propres certificats autosignés.

Pour en savoir plus sur les certificats compatibles, consultez Certificats.

Avantages

Certificate Manager offre les avantages suivants :

Automatisation

  • Émettez, renouvelez et gérez automatiquement les certificats gérés par Google.
  • Provisionnez des certificats gérés par Google à l'avance pour permettre des migrations fluides et sans temps d'arrêt vers Google Cloud.

Sécurité

  • Stockez et déployez des millions de certificats de manière sécurisée.
  • Sécurisez vos configurations avec des certificats gérés par Google, ce qui vous évite d'avoir à gérer les clés privées des certificats.
  • Implémentez l'authentification TLS mutuelle (mTLS) sur votre équilibreur de charge pour renforcer la sécurité. Pour en savoir plus, consultez la présentation de l'authentification TLS mutuelle dans la documentation Cloud Load Balancing.

Flexibilité

  • Validez la propriété des domaines à l'aide de méthodes d'autorisation basées sur le DNS ou sur l'équilibreur de charge.
  • Choisissez entre les certificats gérés par Google (traités automatiquement par Google) et les certificats autogérés (obtenus et gérés de manière indépendante).
  • Utilisez le protocole ACME pour obtenir des certificats reconnus publiquement pour les points de terminaison que vous gérez à partir de l'Public Certificate Authority. Pour en savoir plus, consultez Autorité de certification publique.
  • Gérez tous les certificats de manière unifiée à l'aide de la console Google Cloud , de Google Cloud CLI ou de l'API Certificate Manager.
  • Contrôlez l'attribution et la sélection des certificats en fonction des noms de domaine. Cela vous permet de gérer et de diffuser un plus grand nombre de certificats qu'avec les certificats SSL Compute Engine.
  • Contrôlez l'attribution et la sélection des certificats en fonction des noms d'hôte de manière précise.

Limites

Certificate Manager présente les limites suivantes :

  • Le gestionnaire de certificats n'est compatible qu'avec l'Public Certificate Authority et l'autorité de certification Let's Encrypt pour l'émission de certificats gérés par Google et approuvés publiquement.
  • Le gestionnaire de certificats n'est compatible qu'avec Certificate Authority Service pour émettre des certificats gérés par Google et approuvés de manière privée.
  • Le nombre de domaines autorisés dans le champ "Noms d'objet de remplacement" (SAN) pour les certificats gérés par Google est limité à 100 lorsque vous utilisez l'autorisation DNS et à cinq lorsque vous utilisez l'autorisation de l'équilibreur de charge.
  • Les certificats gérés par Google sont soumis à des limites concernant la longueur des noms de domaine acceptés. Pour en savoir plus, consultez Limites de longueur des noms de domaine pour les certificats gérés par Google.
  • Les certificats avec le champ d'application ALL_REGIONS ne sont pas compatibles avec l'autorisation de l'équilibreur de charge.
  • Lorsque vous utilisez un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global basé sur SSL, vous pouvez rencontrer des latences d'établissement de liaison TLS plus élevées dans certaines régions avec le Gestionnaire de certificats qu'avec les certificats SSL Compute Engine.

Étapes suivantes