Gestore certificati consente di acquisire e gestire i certificati TLS (Transport Layer Security) da utilizzare con le seguenti risorse del bilanciatore del carico:
Proxy HTTPS di destinazione utilizzati dagli Application Load Balancer:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni esterno regionale
- Bilanciatore del carico delle applicazioni interno regionale
- Bilanciatore del carico delle applicazioni interno tra regioni
Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico di rete proxy classico
Gestore certificati consente inoltre di eseguire il deployment di certificati gestiti da Google autogestiti a livello di regione e a livello di regione su proxy Secure Web Proxy.
Per utilizzare Gestore certificati, il bilanciatore del carico deve essere compatibile con il Livello di servizio di rete corrispondente. Per un'analisi completa dei tipi di bilanciatori del carico e del rispettivo supporto del livello di servizio di rete, consulta il Riepilogo dei bilanciatori del carico Google Cloud.
Puoi emettere e rinnovare automaticamente i certificati gestiti da Google utilizzando Gestore certificati. Se vuoi utilizzare la tua catena di attendibilità anziché fare affidamento sulle autorità di certificazione (CA) pubbliche approvate da Google per l'emissione dei certificati, puoi configurare Gestore certificati in modo che utilizzi un pool di CA di Certificate Authority Service come emittente del certificato.
Puoi anche caricare manualmente i seguenti tipi di certificati:
- Certificati emessi da CA di terze parti di tua scelta
- Certificati emessi da CA sotto il tuo controllo
- Certificati autofirmati, come descritto in Creare una chiave privata e un certificato
Gestore certificati archivia ed esegue il deployment dei certificati in modo sicuro nei proxy selezionati, in modo da poter eseguire il provisioning dei certificati in anticipo e senza tempi di inattività durante le migrazioni.
Con Gestore certificati puoi eseguire il deployment di fino a un milione di certificati per bilanciatore del carico. Per informazioni sulle quote predefinite e su come aumentarle, consulta Quote e limiti.
Il meccanismo di mappatura flessibile di Gestore certificati consente di controllare con precisione l'assegnazione dei certificati ai nomi di dominio nel tuo ambiente Google Cloud su larga scala. Puoi gestire e gestire un numero maggiore di certificati rispetto a Cloud Load Balancing.
Gestore certificati può anche fungere da CA pubblica per fornire e implementare certificati X.509 ampiamente attendibili dopo aver verificato che il richiedente del certificato controlli i domini. Gestore certificati consente di richiedere in modo diretto e programmatico certificati TLS attendibili pubblicamente che si trovano già nella directory principale degli archivi di attendibilità utilizzati dai principali browser, sistemi operativi e applicazioni. Puoi utilizzare questi certificati TLS per autenticare e criptare il traffico internet. Per ulteriori informazioni, consulta CA pubblica.
Puoi scegliere di utilizzare l'autenticazione TLS reciproca (mTLS) sul tuo bilanciatore del carico. Per ulteriori informazioni, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.
Quando utilizzare Gestore certificati
Gestore certificati offre i seguenti vantaggi rispetto all'assegnazione diretta dei certificati TLS (SSL) al bilanciatore del carico. Gestore certificati consente di eseguire le seguenti operazioni:
- Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a un livello molto granulare che non è disponibile quando utilizzi Cloud Load Balancing.
- Gestisci tutti i tuoi certificati in modo unificato utilizzando Google Cloud CLI o l'API Certificate Manager.
- Assegna più di 15 certificati per proxy di destinazione. Gestore certificati supporta fino a un milione di certificati per bilanciatore del carico.
- Acquisisci e rinnova automaticamente i certificati gestiti da Google all'interno di Google Cloud.
- Utilizza un pool di CA del servizio CA come emittente del certificato per i certificati gestiti da Google anziché le CA Google o Let's Encrypt.
- Utilizzare la verifica della proprietà del dominio basata su DNS per i certificati gestiti da Google in aggiunta al metodo basato sul bilanciatore del carico supportato da Cloud Load Balancing.
- Utilizza i certificati gestiti da Google con autorizzazione DNS per i nomi di dominio con caratteri jolly, ad esempio
*.myorg.example.com. I certificati gestiti da Google con autorizzazione del bilanciatore del carico non supportano i nomi di dominio con caratteri jolly. - Esegui il provisioning di certificati gestiti da Google in anticipo, consentendo la migrazione senza tempi di inattività da un altro fornitore a Google Cloud.
- Usa Cloud Monitoring per monitorare la propagazione e la scadenza dei certificati.
Limitazioni
Gestore certificati presenta le seguenti limitazioni:
- Per l'emissione di certificati gestiti da Google pubblicamente attendibili, Gestore certificati supporta solo la CA Google e la CA Let's Encrypt.
- Per l'emissione di certificati gestiti da Google attendibili privatamente, Gestore certificati supporta solo Certificate Authority Service.
- Il numero di domini (nomi alternativi del soggetto) per i certificati gestiti da Google è limitato a un massimo di 100 quando si utilizza l'autorizzazione DNS e a un massimo di cinque quando si utilizza l'autorizzazione del bilanciatore del carico.
- Puoi associare un massimo di quattro certificati a una singola voce di mappa dei certificati.
- Per i certificati gestiti da Google, esistono limitazioni sulla lunghezza dei nomi di dominio che possono supportare. Per ulteriori informazioni sui limiti di lunghezza dei nomi di dominio, consulta Limitazioni della lunghezza dei nomi di dominio per i certificati gestiti da Google.
- I certificati con l'ambito
ALL_REGIONSnon supportano l'autorizzazione del bilanciatore del carico. - Alle risorse di configurazione di attendibilità si applicano le seguenti limitazioni:
- Una risorsa di configurazione di attendibilità può contenere un singolo archivio di attendibilità.
- Un archivio di attendibilità può contenere fino a 100 trust anchor.
- Un archivio di attendibilità può contenere fino a 100 certificati CA intermedi.