인증서 관리자를 사용하면 다음 부하 분산기 리소스에서 사용할 전송 계층 보안(TLS) 인증서를 획득하고 관리할 수 있습니다.
애플리케이션 부하 분산기에서 사용하는 대상 HTTPS 프록시는 다음과 같습니다.
- 전역 외부 애플리케이션 부하 분산기
- 기본 애플리케이션 부하 분산기
- 리전 외부 애플리케이션 부하 분산기
- 리전별 내부 애플리케이션 부하 분산기
- 리전 간 내부 애플리케이션 부하 분산기
프록시 네트워크 부하 분산기에서 사용하는 대상 SSL 프록시는 다음가 같습니다.
- 전역 외부 프록시 네트워크 부하 분산기
- 기본 프록시 네트워크 부하 분산기
인증서 관리자를 사용하면 보안 웹 프록시 프록시에 리전별 자체 관리형 및 리전별 Google 관리형 인증서를 배포할 수도 있습니다.
인증서 관리자를 사용하려면 부하 분산기가 해당 네트워크 서비스 등급과 호환되어야 합니다. 부하 분산기 유형과 각 네트워크 서비스 등급 지원에 대한 자세한 내용은 Google Cloud 부하 분산기 요약을 참조하세요.
인증서 관리자를 사용하여 Google 관리형 인증서를 자동으로 발급하고 갱신할 수 있습니다. Google에서 승인한 Public Certificate Authority(CA)를 사용해 인증서를 발급하는 대신 자체 신뢰 체인을 사용하려는 경우 Certificate Authority Service의 CA 풀을 인증서 발급기관으로 대신 사용하도록 구성하면 됩니다.
다음 유형의 인증서를 수동으로 업로드할 수도 있습니다.
- 원하는 타사 CA에서 발급한 인증서
- 개발자가 관리하는 CA에서 발급한 인증서
- 비공개 키 및 인증서 만들기에 설명된 자체 서명 인증서
인증서 관리자는 인증서를 안전하게 저장하고 선택한 프록시에 배포하므로 인증서를 미리 프로비저닝하고 마이그레이션 중에 다운타임을 방지할 수 있습니다.
인증서 관리자를 사용하면 부하 분산기당 최대 100만 개의 인증서를 배포할 수 있습니다. 기본 할당량과 할당량 상향 방법에 대한 자세한 내용은 할당량 및 한도를 참조하세요.
인증서 관리자의 유연한 매핑 메커니즘을 통해 Google Cloud 환경에서 도메인 이름에 인증서 할당을 대규모로 세밀하게 제어할 수 있습니다. Cloud Load Balancing보다 많은 수의 인증서를 관리하고 제공할 수 있습니다.
인증서 관리자는 인증서 요청자가 도메인을 제어하는지 확인한 후 신뢰할 수 있는 X.509 인증서를 제공하고 배포하기 위해 Public CA 역할을 할 수도 있습니다. 인증서 관리자를 사용하면 주요 브라우저, 운영체제, 애플리케이션에서 사용하는 신뢰할 수 있는 루트의 저장소에 이미 있는 공개적으로 신뢰할 수 있는 TLS 인증서를 직접, 프로그래매틱 방식으로 요청할 수 있습니다. 이러한 TLS 인증서를 사용하여 인터넷 트래픽을 인증하고 암호화할 수 있습니다. 자세한 내용은 Public CA를 참조하세요.
부하 분산기에서 상호 TLS 인증(mTLS)을 사용할 수 있습니다. 자세한 내용은 Cloud Load Balancing 문서의 상호 TLS 인증을 참조하세요.
인증서 관리자를 사용해야 하는 경우
인증서 관리자는 부하 분산기에 TLS (SSL) 인증서를 직접 할당하는 것에 비해 다음과 같은 이점이 있습니다. 인증서 관리자를 사용하면 다음을 수행할 수 있습니다.
- 호스트 이름을 기준으로 인증서 할당 및 선택을 제어하려면 Cloud Load Balancing을 사용할 때 제공되지 않는 매우 세분화된 수준으로 제어해야 합니다.
- Google Cloud CLI 또는 Certificate Manager API를 사용하여 모든 인증서를 통합 방식으로 관리합니다.
- 대상 프록시당 15개가 넘는 인증서를 할당합니다. 인증서 관리자는 부하 분산기당 최대 100만 개의 인증서를 지원합니다.
- Google Cloud 내에서 Google 관리형 인증서를 자동으로 획득하고 갱신합니다.
- Google 또는 Let's Encrypt CA 대신 Google 관리형 인증서의 인증서 발급기관으로 CA 서비스의 CA 풀을 사용합니다.
- Cloud Load Balancing에서 지원하는 부하 분산기 기반 메서드 외에도 Google 관리형 인증서에 DNS 기반 도메인 소유권 확인을 사용합니다.
- 와일드 카드 도메인 이름(예:
*.myorg.example.com)에 DNS 승인과 함께 Google 관리형 인증서를 사용합니다. 부하 분산기 승인을 사용하는 Google 관리형 인증서는 와일드 카드 도메인 이름을 지원하지 않습니다. - Google 관리형 인증서를 미리 프로비저닝하여 다른 공급업체에서 Google Cloud로 다운타임 없이 마이그레이션할 수 있도록 합니다.
- Cloud Monitoring을 사용하여 인증서 전파 및 만료를 모니터링합니다.
제한사항
인증서 관리자에는 다음과 같은 제한사항이 있습니다.
- 공개적으로 신뢰할 수 있는 Google 관리형 인증서를 발급하기 위해 인증서 관리자는 Google CA 및 Let's Encrypt CA만 지원합니다.
- 비공개로 신뢰할 수 있는 Google 관리형 인증서를 발급하기 위해 인증서 관리자는 Certificate Authority Service만 지원합니다.
- Google 관리형 인증서의 도메인(주체 대체 이름) 수는 DNS 승인을 사용하는 경우 최대 100개로 제한되고, 부하 분산기 승인을 사용하는 경우 최대 5개로 제한됩니다.
- 단일 인증서 맵 항목과 최대 4개의 인증서를 연결할 수 있습니다.
- Google 관리형 인증서의 경우 지원 가능한 도메인 이름 길이에 제한이 있습니다. 도메인 이름의 길이 제한에 대한 자세한 내용은 Google 관리형 인증서의 도메인 이름 길이 제한을 참조하세요.
- 범위가
ALL_REGIONS인 인증서에서는 부하 분산기 승인을 지원하지 않습니다. - 트러스트 구성 리소스에는 다음 제한사항이 적용됩니다.
- 트러스트 구성 리소스는 단일 트러스트 저장소를 보유할 수 있습니다.
- 트러스트 저장소는 최대 100개의 신뢰 앵커를 보유할 수 있습니다.
- 트러스트 저장소에는 최대 100개의 중간 CA 인증서가 포함될 수 있습니다.