Panoramica di Certificate Manager

Certificate Manager ti consente di acquisire e gestire i certificati TLS (Transport Layer Security) da utilizzare con le seguenti risorse di bilanciamento del carico:

  • Proxy HTTPS target utilizzati dai bilanciatori del carico delle applicazioni:

    • Bilanciatore del carico delle applicazioni esterno globale
    • Bilanciatore del carico delle applicazioni classico
    • Bilanciatore del carico delle applicazioni esterno regionale
    • Bilanciatore del carico delle applicazioni interno regionale
    • Bilanciatore del carico delle applicazioni interno tra regioni
  • Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:

    • Bilanciatore del carico di rete proxy esterno globale
    • Bilanciatore del carico di rete proxy classico

Certificate Manager ti consente inoltre di implementare certificati autogestiti a livello di regione e certificati gestiti da Google a livello di regione sui proxy Secure Web Proxy.

Per utilizzare Certificate Manager, il bilanciatore del carico deve essere compatibile con il livello di servizio di rete corrispondente. Per una suddivisione completa dei tipi di bilanciatori del carico e del relativo supporto dei livelli di servizio di rete, consulta Riepilogo dei Google Cloud bilanciatori del carico.

Puoi emettere e rinnovare automaticamente i certificati gestiti da Google utilizzando Gestione certificati. Se vuoi utilizzare la tua catena di attendibilità anziché affidarti ad autorità di certificazione pubbliche approvate da Google per emettere i tuoi certificati, puoi configurare Certificate Manager in modo che utilizzi un pool di CA del Certificate Authority Service come emittente del certificato.

Puoi anche caricare manualmente i seguenti tipi di certificati:

Certificate Manager archivia e distribuisce in modo sicuro i certificati ai proxy selezionati, il che ti consente di eseguire il provisioning dei certificati in anticipo e di garantire zero downtime durante le migrazioni.

Con Certificate Manager, puoi implementare fino a un milione di certificati per bilanciatore del carico. Per informazioni sulle quote predefinite e su come aumentarle, consulta Quote e limiti.

Il meccanismo di mappatura flessibile di Certificate Manager ti consente di controllare con precisione l'assegnazione dei certificati ai nomi di dominio nel tuo ambiente Google Cloudsu larga scala. Puoi gestire e pubblicare un numero maggiore di certificati rispetto a Cloud Load Balancing.

Gestione certificati può anche fungere da autorità di certificazione pubblica per fornire e implementare certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Gestore certificati ti consente di richiedere in modo diretto e programmatico certificati TLS attendibili pubblicamente che si trovano già nella radice degli archivi di attendibilità utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet. Per ulteriori informazioni, consulta CA pubblica.

Hai la possibilità di utilizzare l'autenticazione TLS reciproca (mTLS) sul bilanciatore del carico. Per ulteriori informazioni, consulta la sezione Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.

Quando utilizzare Gestore dei certificati

Certificate Manager offre i seguenti vantaggi rispetto all'assegnazione diretta dei certificati TLS (SSL) al bilanciatore del carico. Gestore certificati consente di:

  • Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a un livello di granularità elevato non disponibile quando utilizzi Cloud Load Balancing.
  • Gestisci tutti i tuoi certificati in modo unificato utilizzando Google Cloud CLI o l'API Certificate Manager.
  • Assegnare più di 15 certificati per proxy di destinazione. Certificate Manager supporta fino a un milione di certificati per bilanciatore del carico.
  • Acquisisci e rinnova automaticamente i certificati gestiti da Google in Google Cloud.
  • Utilizza un pool di CA del servizio CA come emittente del certificato per i certificati gestiti da Google anziché le CA Google o Let's Encrypt.
  • Utilizza la verifica della proprietà del dominio basata su DNS per i certificati gestiti da Google, oltre al metodo basato su bilanciatore del carico supportato da Cloud Load Balancing.
  • Utilizza i certificati gestiti da Google con autorizzazione DNS per i nomi di dominio con caratteri jolly, ad esempio *.myorg.example.com. I certificati gestiti da Google con autorizzazione per il bilanciamento del carico non supportano i nomi di dominio con caratteri jolly.
  • Esegui il provisioning dei certificati gestiti da Google in anticipo, in modo da eseguire la migrazione da un altro fornitore a Google Cloudsenza tempi di riposo.
  • Utilizza Cloud Monitoring per monitorare la propagazione e la scadenza dei certificati.

Limitazioni

Certificate Manager presenta le seguenti limitazioni:

  • Per l'emissione di certificati gestiti da Google attendibili pubblicamente, Gestione certificati supporta solo la CA Google e la CA Let's Encrypt.
  • Per l'emissione di certificati gestiti da Google attendibili a livello privato, Certificate Manager supporta solo il servizio Certificate Authority.
  • Il numero di domini (nomi alternativi dell'oggetto) per i certificati gestiti da Google è limitato a un massimo di 100 quando si utilizza l'autorizzazione DNS e a un massimo di cinque quando si utilizza l'autorizzazione del bilanciatore del carico.
  • Puoi associare un massimo di quattro certificati a una singola voce della mappa dei certificati.
  • Per i certificati gestiti da Google, esistono limitazioni alla lunghezza dei nomi di dominio che possono supportare. Per ulteriori informazioni sulle limitazioni di lunghezza dei nomi di dominio, consulta Limitazioni di lunghezza dei nomi di dominio per i certificati gestiti da Google.
  • I certificati con ambito ALL_REGIONS non supportano l'autorizzazione del bilanciatore del carico.
  • Alle risorse di configurazione della attendibilità si applicano le seguenti limitazioni:
    • Una risorsa di configurazione della attendibilità può contenere un singolo magazzino attendibilità.
    • Un archivio attendibile può contenere fino a 100 trust anchor.
    • Un archivio attendibilità può contenere fino a 100 certificati CA intermedi.

Passaggi successivi