Pengelola Sertifikat menggunakan mekanisme pemetaan fleksibel yang memberi Anda kontrol terperinci atas sertifikat yang dapat Anda tetapkan dan cara menayangkannya untuk setiap nama domain di lingkungan Anda.
Diagram berikut menunjukkan hubungan antara komponen Pengelola Sertifikat untuk proxy target standar yang ditentukan dalam aturan penerusan load balancer:
Untuk mempelajari komponen Pengelola Sertifikat lebih lanjut, lihat Komponen inti.
Logika pemilihan sertifikat
Pada tingkat tinggi, load balancer memilih sertifikat sebagai berikut:
Klien memulai handshake, yang merupakan permintaan koneksi ke layanan di balik load balancer.
Selama handshake, klien memberikan daftar algoritma kriptografis yang digunakan klien untuk menyelesaikan handshake, dan, secara opsional, nama host yang coba dijangkau. Nama host ini juga disebut Server Name Indication (SNI).
Saat menerima permintaan, load balancer akan memilih sertifikat untuk menyelesaikan handshake aman.
Kecocokan nama host persis: jika nama host yang diberikan klien sama persis dengan entri nama host dalam peta sertifikat yang disediakan, load balancer akan memilih sertifikat yang sesuai.
Kecocokan nama host karakter pengganti: jika nama host klien tidak cocok dengan salah satu entri nama host dalam peta sertifikat yang disediakan, tetapi cocok dengan nama host karakter pengganti dalam entri peta sertifikat, load balancer akan memilih sertifikat yang sesuai.
Misalnya, entri karakter pengganti yang dikonfigurasi sebagai
*.myorg.example.commencakup subdomain level pertama di domainmyorg.example.com.Tidak ada kecocokan nama host yang sama persis atau yang menggunakan karakter pengganti: jika nama host klien tidak cocok dengan salah satu entri nama host dalam peta sertifikat yang disediakan, load balancer akan memilih entri peta sertifikat utama.
Kegagalan handshake: jika klien tidak memberikan nama host dan entri peta sertifikat utama tidak dikonfigurasi, handshake akan gagal.
Prioritas sertifikat
Saat memilih sertifikat, load balancer memprioritaskannya berdasarkan faktor berikut:
- Jenis sertifikat. Jika klien mendukung sertifikat ECDSA, load balancer akan memprioritaskannya daripada sertifikat RSA. Jika klien tidak mendukung sertifikat ECDSA, load balancer akan menyalurkan sertifikat RSA.
- Ukuran sertifikat. Karena sertifikat yang lebih kecil menggunakan lebih sedikit bandwidth, load balancer akan memprioritaskan sertifikat yang lebih kecil daripada yang lebih besar.
Nama domain karakter pengganti
Aturan berikut berlaku untuk nama domain karakter pengganti:
- Hanya sertifikat yang dikelola Google dengan otorisasi DNS dan sertifikat yang dikelola Google dengan Layanan CA yang mendukung nama domain karakter pengganti. Sertifikat yang dikelola Google dengan otorisasi load balancer tidak mendukung nama domain karakter pengganti.
- Pencocokan persis lebih diutamakan daripada karakter pengganti jika keduanya ditentukan dalam
entri. Misalnya, jika Anda mengonfigurasi entri peta sertifikat untuk
www.myorg.example.comdan*.myorg.example.com, permintaan koneksi terhadapwww.myorg.example.comselalu memilih entri untukwww.myorg.example.commeskipun entri untuk*.myorg.example.comjuga ada. - Nama domain karakter pengganti hanya cocok dengan subdomain tingkat pertama. Misalnya,
permintaan koneksi untuk
host1.myorg.example.commemilih entri peta sertifikat untuk*.myorg.example.com, tetapi tidak untukhost1.hosts.myorg.example.com.
Perpanjangan sertifikat
Sertifikat yang dikelola Google diperpanjang secara otomatis. Anda harus memperpanjang sertifikat yang dikelola sendiri secara manual. Jika perlu, Anda dapat mengonfigurasi pemberitahuan Cloud Logging untuk sertifikat sebelum masa berlakunya berakhir. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan log.