Cara kerja Certificate Manager

Pengelola Sertifikat menggunakan mekanisme pemetaan fleksibel yang memberi Anda kontrol terperinci atas sertifikat yang dapat Anda tetapkan dan cara menayangkannya untuk setiap nama domain di lingkungan Anda.

Diagram berikut menunjukkan hubungan antara komponen Pengelola Sertifikat untuk proxy target standar yang ditentukan dalam aturan penerusan load balancer:

Untuk mempelajari komponen Pengelola Sertifikat lebih lanjut, lihat Komponen inti.

Logika pemilihan sertifikat

Pada tingkat tinggi, load balancer memilih sertifikat sebagai berikut:

1. Klien memulai handshake, yang merupakan permintaan koneksi ke layanan di balik load balancer.

   Selama handshake, klien memberikan daftar algoritma kriptografis yang digunakan klien untuk menyelesaikan handshake, dan, secara opsional, nama host yang coba dijangkau. Nama host ini juga disebut Server Name Indication (SNI).

2. Saat menerima permintaan, load balancer akan memilih sertifikat untuk menyelesaikan handshake aman.

   • Kecocokan nama host persis: jika nama host yang diberikan klien sama persis dengan entri nama host dalam peta sertifikat yang disediakan, load balancer akan memilih sertifikat yang sesuai.

   • Kecocokan nama host karakter pengganti: jika nama host klien tidak cocok dengan salah satu entri nama host dalam peta sertifikat yang disediakan, tetapi cocok dengan nama host karakter pengganti dalam entri peta sertifikat, load balancer akan memilih sertifikat yang sesuai.

     Misalnya, entri karakter pengganti yang dikonfigurasi sebagai *.myorg.example.com mencakup subdomain level pertama di domain myorg.example.com. Entri karakter pengganti tidak mencakup subdomain tingkat yang lebih dalam, seperti sub.subdomain.myorg.example.com.

   • Tidak ada kecocokan nama host yang sama persis atau yang menggunakan karakter pengganti: jika nama host klien tidak cocok dengan salah satu entri nama host dalam peta sertifikat yang disediakan, load balancer akan memilih entri peta sertifikat utama.

   • Kegagalan handshake: jika klien tidak memberikan nama host dan entri peta sertifikat utama tidak dikonfigurasi, handshake akan gagal.

Prioritas sertifikat

Saat memilih sertifikat, load balancer akan memprioritaskannya berdasarkan faktor berikut:

• Jenis sertifikat. Jika klien mendukung sertifikat ECDSA, load balancer akan memprioritaskannya daripada sertifikat RSA. Jika klien tidak mendukung sertifikat ECDSA, load balancer akan menyalurkan sertifikat RSA.
• Ukuran sertifikat. Karena sertifikat yang lebih kecil memerlukan lebih sedikit bandwidth, load balancer akan memprioritaskan sertifikat yang lebih kecil daripada yang lebih besar.

Nama domain karakter pengganti

Aturan berikut berlaku untuk nama domain karakter pengganti:

• Hanya sertifikat yang dikelola Google dengan otorisasi DNS dan sertifikat yang dikelola Google dengan Layanan CA yang mendukung nama domain karakter pengganti. Sertifikat yang dikelola Google dengan otorisasi load balancer tidak mendukung nama domain karakter pengganti.
• Pencocokan persis lebih diutamakan daripada karakter pengganti jika keduanya ditentukan dalam entri. Misalnya, jika Anda mengonfigurasi entri peta sertifikat untuk www.myorg.example.com dan *.myorg.example.com, permintaan koneksi terhadap www.myorg.example.com selalu memilih entri untuk www.myorg.example.com meskipun entri untuk *.myorg.example.com juga ada.
• Nama domain karakter pengganti hanya cocok dengan subdomain tingkat pertama. Misalnya, permintaan koneksi untuk host1.myorg.example.com memilih entri peta sertifikat untuk *.myorg.example.com, tetapi tidak untuk host1.hosts.myorg.example.com.

Perpanjangan sertifikat

Sertifikat yang dikelola Google diperpanjang secara otomatis. Anda harus memperpanjang sertifikat yang dikelola sendiri secara manual. Jika perlu, Anda dapat mengonfigurasi pemberitahuan Cloud Logging untuk sertifikat sebelum masa berlakunya berakhir. Untuk informasi selengkapnya, lihat Mengonfigurasi pemberitahuan log.

Langkah berikutnya

• Jenis otorisasi domain untuk sertifikat yang dikelola Google