O Gerenciador de certificados permite adquirir e gerenciar certificados do Transport Layer Security (TLS) para uso com os seguintes recursos do balanceador de carga:
Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativos:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de aplicativo externo regional
- Balanceador de carga de aplicativo interno regional
- Balanceador de carga de aplicativo interno entre regiões
Proxy SSL de destino usado por balanceadores de carga de rede de proxy:
- Balanceador de carga de rede de proxy externo global
- Balanceador de carga de rede de proxy clássico
O Gerenciador de certificados também permite implantar certificados autogerenciados regionais e gerenciados pelo Google em proxies do Secure Web Proxy.
Para usar o Gerenciador de certificados, seu balanceador de carga precisa ser compatível com o nível de serviço de rede correspondente. Para um detalhamento completo dos tipos de balanceador de carga e do respectivo suporte ao nível de serviço de rede, consulte o Resumo dos balanceadores de carga Google Cloud .
É possível emitir e renovar automaticamente certificados gerenciados pelo Google usando o Gerenciador de certificados. Se você quiser usar sua própria cadeia de confiança em vez de depender de autoridades de certificação (ACs) públicas aprovadas pelo Google para emitir certificados, configure o Certificate Manager para usar um pool de ACs do Certificate Authority Service como emissor de certificados.
Também é possível fazer o upload manual dos seguintes tipos de certificados:
- Certificados emitidos por ACs de terceiros de sua escolha
- Certificados emitidos por ACs sob seu controle
- Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
O Gerenciador de certificados armazena e implanta certificados com segurança nos proxies selecionados, o que permite provisionar certificados com antecedência e garante a inatividade zero durante as migrações.
Com o Gerenciador de certificados, é possível implantar até um milhão de certificados por balanceador de carga. Para informações sobre as cotas padrão e como aumentá-las, consulte Cotas e limites.
O mecanismo de mapeamento flexível do Gerenciador de certificados permite controlar de forma precisa a atribuição de certificados a nomes de domínio no ambiente Google Cloud em grande escala. É possível gerenciar e exibir um número maior de certificados do que com o Cloud Load Balancing.
O gerenciador de certificados também pode atuar como uma AC pública para fornecer e implantar certificados X.509 de confiança geral depois de validar que o solicitante do certificado controla os domínios. O Gerenciador de certificados permite solicitar de forma direta e programática certificados TLS de confiança pública que já estão na raiz dos repositórios de confiança usados pelos principais navegadores, sistemas operacionais e aplicativos. É possível usar esses certificados TLS para autenticar e criptografar o tráfego da Internet. Para mais informações, consulte AC pública.
Você tem a opção de usar a autenticação TLS mútua (mTLS) no balanceador de carga. Para mais informações, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Quando usar o Gerenciador de certificados
O Gerenciador de certificados tem as seguintes vantagens em relação à atribuição direta de certificados TLS (SSL) ao balanceador de carga. O Gerenciador de certificados permite fazer o seguinte:
- Controle a atribuição e a seleção de certificados com base em nomes de host em um nível altamente granular que não está disponível ao usar o Cloud Load Balancing.
- Use a CLI do Google Cloud ou a API Certificate Manager para gerenciar todos os seus certificados de maneira unificada.
- Atribuir mais de 15 certificados por proxy de destino. O Gerenciador de certificados oferece suporte a até um milhão de certificados por balanceador de carga.
- Adquira e renove automaticamente certificados gerenciados pelo Google no Google Cloud.
- Use um pool de ACs do serviço de AC como emissor de certificados para certificados gerenciados pelo Google em vez das ACs do Google ou do Let's Encrypt.
- Use a verificação de propriedade de domínio baseada em DNS para certificados gerenciados pelo Google, além do método baseado em balanceador de carga compatível com o Cloud Load Balancing.
- Use certificados gerenciados pelo Google com autorização de DNS para nomes de domínio curinga, por exemplo,
*.myorg.example.com. Certificados gerenciados pelo Google com autorização do balanceador de carga não são compatíveis com nomes de domínio curinga. - Provisione certificados gerenciados pelo Google com antecedência, permitindo a migração sem tempo de inatividade de outro fornecedor para Google Cloud.
- Use o Cloud Monitoring para monitorar a propagação e a expiração de certificados.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- Para emitir certificados gerenciados pelo Google e de confiança pública, o Gerenciador de certificados só oferece suporte à AC do Google e à AC do Let's Encrypt.
- Para emitir certificados gerenciados pelo Google com confiança privada, o Gerenciador de certificados só oferece suporte ao Certificate Authority Service.
- O número de domínios (nomes alternativos do assunto) para certificados gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização de DNS e a um máximo de cinco ao usar a autorização do balanceador de carga.
- É possível associar no máximo quatro certificados a uma única entrada do mapa de certificados.
- Para certificados gerenciados pelo Google, há limitações no comprimento dos nomes de domínio compatíveis. Para mais informações sobre as limitações de comprimento de nomes de domínio, consulte Limitações de comprimento de nomes de domínio para certificados gerenciados pelo Google.
- Certificados com o escopo
ALL_REGIONSnão têm suporte para autorização do balanceador de carga. - As limitações a seguir se aplicam aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode conter até 100 âncoras de confiança.
- Um repositório de confiança pode conter até 100 certificados de AC intermediários.