El Administrador de certificados usa un mecanismo de asignación flexible que te proporciona un control detallado sobre los certificados que puedes asignar y cómo entregarlos para cada nombre de dominio de tu entorno.
En el siguiente diagrama, se muestran las relaciones entre los componentes del Administrador de certificados para un proxy de destino típico especificado en una regla de reenvío del balanceador de cargas:
Para obtener más información sobre los componentes del Administrador de certificados, consulta Componentes principales.
Lógica de selección de certificados
En un nivel alto, el balanceador de cargas selecciona un certificado de la siguiente manera:
Un cliente inicia un protocolo de enlace, que es una solicitud de conexión al servicio detrás del balanceador de cargas.
Durante el protocolo de enlace, el cliente proporciona al balanceador de cargas una lista de algoritmos de criptografía que usa para completar el protocolo de enlace y, de manera opcional, el nombre de host al que intenta conectarse. Este nombre de host también se denomina indicación de nombre de servidor (SNI).
Cuando recibe la solicitud, el balanceador de cargas selecciona un certificado para completar el protocolo de enlace seguro.
Coincidencia exacta de nombre de host: Si el nombre de host proporcionado por el cliente coincide exactamente con una entrada de nombre de host en el mapa de certificados aprovisionado, el balanceador de cargas selecciona el certificado correspondiente.
Coincidencia de nombre de host con comodines: Si el nombre de host del cliente no coincide con ninguna de las entradas de nombre de host del mapa de certificados aprovisionado, pero sí coincide con un nombre de host con comodines en una entrada de mapa de certificados, el balanceador de cargas selecciona el certificado correspondiente.
Por ejemplo, una entrada de comodín configurada como
*.myorg.example.comabarca los subdominios de primer nivel en el dominiomyorg.example.com.No hay coincidencia exacta ni de comodín con el nombre de host: Si el nombre de host del cliente no coincide con ninguna de las entradas de nombre de host en el mapa de certificados aprovisionado, el balanceador de cargas selecciona la entrada de mapa de certificados principal.
Falla de protocolo de enlace: Si el cliente no proporcionó un nombre de host y no se configuró la entrada del mapa de certificados principal, el protocolo de enlace falla.
Prioridad del certificado
Cuando seleccionas un certificado, el balanceador de cargas lo prioriza en función de los siguientes factores:
- Tipo de certificado. Si el cliente admite los certificados ECDSA, el balanceador de cargas los prioriza sobre los certificados RSA. Si el cliente no admite certificados ECDSA, el balanceador de cargas entrega un certificado RSA.
- Tamaño del certificado. Dado que los certificados más pequeños ocupan menos ancho de banda, el equilibrador de cargas prioriza los certificados más pequeños sobre los más grandes.
Nombres de dominio con comodines
Las siguientes reglas se aplican a los nombres de dominio con comodines:
- Solo los certificados administrados por Google con autorización de DNS y los certificados administrados por Google con el servicio de AC admiten nombres de dominio con comodines. Los certificados administrados por Google con autorización de balanceador de cargas no admiten nombres de dominio comodín.
- Una concordancia exacta tiene prioridad sobre un comodín cuando ambos se definen en la entrada. Por ejemplo, si configuraste entradas de mapa de certificados para
www.myorg.example.comy*.myorg.example.com, una solicitud de conexión conwww.myorg.example.comsiempre selecciona la entrada parawww.myorg.example.com, incluso si también existe una entrada para*.myorg.example.com. - Los nombres de dominio comodín solo coinciden con el primer nivel de subdominios. Por ejemplo, una solicitud de conexión para
host1.myorg.example.comselecciona una entrada de mapa de certificados para*.myorg.example.com, pero no parahost1.hosts.myorg.example.com.
Renovación de certificados
Los certificados administrados por Google se renuevan automáticamente. Debes renovar los certificados administrados de forma manual. Si es necesario, puedes configurar alertas de Cloud Logging para los certificados antes de que venzan. Para obtener más información, consulta Configura alertas de registro.