Cette page a été traduite par l'API Cloud Translation.

Fonctionnement du Gestionnaire de certificats
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Le Gestionnaire de certificats utilise un mécanisme de mappage flexible qui vous permet de contrôler précisément les certificats que vous pouvez attribuer et la manière de les diffuser pour chaque nom de domaine de votre environnement.

Le diagramme suivant illustre les relations entre les composants du Gestionnaire de certificats pour un proxy cible typique spécifié dans une règle de transfert d'équilibreur de charge:

Relation entre les composants du Gestionnaire de certificats et le proxy cible d'un équilibreur de charge. — Entités du gestionnaire de certificats (cliquez pour agrandir).

Pour en savoir plus sur les composants du Gestionnaire de certificats, consultez la section Composants principaux.

Logique de sélection du certificat

De manière générale, l'équilibreur de charge sélectionne un certificat comme suit:

Un client lance un handshake, qui est une requête de connexion au service derrière l'équilibreur de charge.

Lors du handshake, le client fournit à l'équilibreur de charge une liste des algorithmes cryptographiques qu'il utilise pour effectuer le handshake, et éventuellement le nom d'hôte qu'il tente d'atteindre. Ce nom d'hôte est également appelé "indication du nom du serveur" (SNI).
À la réception de la requête, l'équilibreur de charge sélectionne un certificat pour effectuer le handshake sécurisé.
- Correspondance exacte du nom d'hôte: si le nom d'hôte fourni par le client correspond exactement à une entrée de nom d'hôte dans le mappage de certificat provisionné, l'équilibreur de charge sélectionne le certificat correspondant.
- Correspondance de nom d'hôte générique: si le nom d'hôte du client ne correspond à aucune des entrées de nom d'hôte du mappage de certificat provisionné, mais qu'il correspond à un nom d'hôte générique dans une entrée de mappage de certificat, l'équilibreur de charge sélectionne le certificat correspondant.
  
  Par exemple, une entrée générique configurée en tant que *.myorg.example.com couvre les sous-domaines de premier niveau du domaine myorg.example.com.
- Aucun nom d'hôte exact ou générique ne correspond: si le nom d'hôte du client ne correspond à aucune des entrées de nom d'hôte dans le mappage de certificat provisionné, l'équilibreur de charge sélectionne l'entrée de mappage de certificat principal.
- Échec du handshake: si le client n'a pas fourni de nom d'hôte et que l'entrée de mappage de certificat principal n'est pas configurée, le handshake échoue.

Priorité du certificat

Lorsqu'il sélectionne un certificat, l'équilibreur de charge les hiérarchise en fonction des facteurs suivants:

Type de certificat Si le client est compatible avec les certificats ECDSA, l'équilibreur de charge les priorise par rapport aux certificats RSA. Si le client n'est pas compatible avec les certificats ECDSA, l'équilibreur de charge fournit un certificat RSA à la place.
Taille du certificat. Étant donné que les certificats plus petits occupent moins de bande passante, l'équilibreur de charge les priorise par rapport aux plus volumineux.

Noms de domaine avec caractères génériques

Les règles suivantes s'appliquent aux noms de domaine avec caractères génériques:

Seuls les certificats gérés par Google avec autorisation DNS et les certificats gérés par Google avec CA Service sont compatibles avec les noms de domaine génériques. Les certificats gérés par Google avec une autorisation d'équilibreur de charge ne sont pas compatibles avec les noms de domaine avec des caractères génériques.
Une correspondance exacte est prioritaire sur un caractère générique lorsque les deux sont définis dans l'entrée. Par exemple, si vous avez configuré des entrées de mappage de certificats pour www.myorg.example.com et *.myorg.example.com, une requête de connexion à www.myorg.example.com sélectionne toujours l'entrée pour www.myorg.example.com, même si une entrée pour *.myorg.example.com existe également.
Les noms de domaine génériques ne correspondent qu'au premier niveau de sous-domaines. Par exemple, une requête de connexion pour host1.myorg.example.com sélectionne une entrée de mappage de certificats pour *.myorg.example.com, mais pas pour host1.hosts.myorg.example.com.

Renouvellement de certificat

Les certificats gérés par Google sont renouvelés automatiquement. Vous devez renouveler manuellement les certificats autogérés. Si nécessaire, vous pouvez configurer des alertes Cloud Logging pour les certificats avant leur expiration. Pour en savoir plus, consultez la page Configurer les alertes de journal.

Étape suivante

Types d'autorisation de domaine pour les certificats gérés par Google