Certificate Manager の概要

Certificate Manager を使用すると、次のロードバランサ リソースで使用する Transport Layer Security(TLS)証明書を取得、管理できます。

  • アプリケーション ロードバランサで使用されるターゲット HTTPS プロキシ:

    • グローバル外部アプリケーション ロードバランサ
    • 従来のアプリケーション ロードバランサ
    • リージョン外部アプリケーション ロードバランサ
    • リージョン内部アプリケーション ロードバランサ
    • クロスリージョン内部アプリケーション ロードバランサ
  • プロキシ ネットワーク ロードバランサで使用されるターゲット SSL プロキシ:

    • グローバル外部プロキシ ネットワーク ロードバランサ
    • 従来のプロキシ ネットワーク ロードバランサ

Certificate Manager では、安全なウェブプロキシ プロキシにリージョンのセルフマネージド証明書とリージョン Google マネージド証明書をデプロイすることもできます。

Certificate Manager を使用するには、ロードバランサが対応する Network Service Tier と互換性がある必要があります。ロードバランサのタイプとそれぞれの Network Service Tier のサポートの詳細については、 Google Cloud ロードバランサの概要をご覧ください。

Certificate Manager を使用して、Google マネージド証明書を自動的に発行および更新できます。証明書を発行するために Google が承認した公開認証局(CA)に依存するのではなく、独自の信頼チェーンを使用する場合は、代わりに認証局として Certificate Authority Service から CA プールを使用するように Certificate Manager を構成できます。

次の種類の証明書を手動でアップロードすることもできます。

  • 任意の第三者の CA が発行した証明書
  • 制御できる CA によって発行された証明書
  • 自己署名証明書(秘密鍵と証明書を作成するを参照)。

Certificate Manager は、選択したプロキシに証明書を安全に保存してデプロイします。これにより、証明書を事前にプロビジョニングし、移行中のダウンタイムをゼロにできます。

Certificate Manager では、ロードバランサごとに最大 100 万個の証明書をデプロイできます。デフォルトの割り当てと割り当てを増やす方法については、割り当てと上限をご覧ください。

Certificate Manager の柔軟なマッピング メカニズムを使用すると、 Google Cloud環境内のドメイン名への証明書の割り当てを大規模にきめ細かく制御できます。Cloud Load Balancing よりも多くの証明書を管理して提供できます。

Certificate Manager は、Public CA としても機能し、証明書のリクエスト元がドメインを制御していることを検証した後に、広く信頼されている X.509 証明書を提供してデプロイできます。Certificate Manager を使用すると、主要なブラウザ、オペレーティング システム、アプリケーションで使用されるトラストストアのルートにすでに存在している TLS 証明書を、直接およびプログラムでリクエストできます。これらの TLS 証明書を使用して、インターネット トラフィックを認証して暗号化できます。詳しくは、Public CA をご覧ください。

ロードバランサで相互 TLS 認証(mTLS)を使用できます。詳細については、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。

Certificate Manager を使用する場面

Certificate Manager には、TLS(SSL)証明書をロードバランサに直接割り当てる場合と比較して、次の利点があります。Certificate Manager を使用すると、次のことができます。

  • Cloud Load Balancing を使用している場合には利用できない、非常に詳細なレベルでホスト名に基づいて証明書の割り当てと選択を制御します。
  • Google Cloud CLI または Certificate Manager API を使用して、すべての証明書を一元的に管理します。
  • ターゲット プロキシごとに 15 を超える証明書を割り当てる。Certificate Manager は、ロードバランサごとに最大 100 万個の証明書をサポートしています。
  • Google Cloud内で Google マネージド証明書を自動的に取得して更新します。
  • Google や Let's Encrypt CA ではなく、Google マネージド証明書の証明書の発行元として CA Service から CA プールを使用します。
  • Cloud Load Balancing でサポートされているロードバランサベースの方法に加えて、Google マネージド証明書に DNS ベースのドメイン所有権確認を使用します。
  • ワイルドカード ドメイン名(DNS など)には、DNS 認証で Google マネージド証明書を使用します。例: *.myorg.example.com。ロードバランサ認証を使用した Google マネージド証明書は、ワイルドカード ドメイン名をサポートしていません。
  • Google マネージド証明書を事前にプロビジョニングし、別のベンダーから Google Cloudへのゼロダウンタイム移行を可能にします。
  • Cloud Monitoring を使用して、証明書の伝播と期限切れをモニタリングします。

制限事項

Certificate Manager には次の制限があります。

  • 公的に信頼できる Google マネージド証明書を発行する場合、Certificate Manager は Google CA と Let's Encrypt CA のみをサポートします。
  • 組織内で信頼する Google マネージド証明書を発行する場合、Certificate Manager は、Certificate Authority Service のみをサポートします。
  • Google マネージド証明書のドメイン数(サブジェクトの代替名)は、DNS 認証を使用する場合は最大 100 個、ロードバランサ認証を使用する場合は最大 5 個に制限されています。
  • 1 つの証明書マップエントリに関連付けることができる証明書は最大で 4 つです。
  • Google マネージド証明書では、サポートできるドメイン名の長さに制限があります。ドメイン名の長さの制限の詳細については、Google マネージド証明書のドメイン名の長さの制限をご覧ください。
  • ALL_REGIONS スコープの証明書は、ロードバランサの承認をサポートしていません。
  • 信頼構成リソースには、次の制限事項が適用されます。
    • 信頼構成リソースには、単一のトラストストアを保持できます。
    • 1 つのトラストストアには、最大 100 個のトラスト アンカーを保持できます。
    • トラストストアには、最大 100 個の中間 CA 証明書を保持できます。

次のステップ