Certificate Manager utilizza un meccanismo di mappatura flessibile che ti offre un controllo granulare sui certificati che puoi assegnare e su come pubblicarli per ogni nome di dominio nel tuo ambiente.
Il seguente diagramma mostra le relazioni tra i componenti di Certificate Manager per un proxy target tipico specificato in una regola di inoltro del bilanciatore del carico:
Per scoprire di più sui componenti di Certificate Manager, consulta Componenti di base.
Logica di selezione dei certificati
A livello generale, il bilanciatore del carico seleziona un certificato come segue:
Un client avvia un handshake, ovvero una richiesta di connessione al servizio dietro il bilanciatore del carico.
Durante l'handshake, il client fornisce al bilanciatore del carico un elenco di algoritmi criptografici che utilizza per completare l'handshake e, facoltativamente, il nome host che sta tentando di raggiungere. Questo nome host è chiamato anche indicazione nome server (SNI).
Al ricevimento della richiesta, il bilanciatore del carico seleziona un certificato per completare l'handshake sicuro.
Corrispondenza esatta del nome host: se il nome host fornito dal client corrisponde esattamente a una voce del nome host nella mappa dei certificati di cui è stato eseguito il provisioning, il bilanciatore del carico seleziona il certificato corrispondente.
Corrispondenza del nome host con caratteri jolly: se il nome host del client non corrisponde a nessuna delle voci del nome host nella mappa dei certificati di cui è stato eseguito il provisioning, ma corrisponde a un nome host con caratteri jolly in una voce della mappa dei certificati, il bilanciatore del carico seleziona il certificato corrispondente.
Ad esempio, una voce jolly configurata come
*.myorg.example.comcopre i sottodomini di primo livello nel dominiomyorg.example.com.Nessuna corrispondenza esatta o con caratteri jolly del nome host: se il nome host del client non corrisponde a nessuna delle voci del nome host nella mappa di certificati di cui è stato eseguito il provisioning, il bilanciatore del carico seleziona la voce della mappa di certificati principale.
Errore di handshake: se il client non ha fornito un nome host e la voce della mappa dei certificati principali non è configurata, l'handshake non riesce.
Priorità del certificato
Quando seleziona un certificato, il bilanciatore del carico li dà la priorità in base ai seguenti fattori:
- Tipo di certificato. Se il client supporta i certificati ECDSA, il bilanciatore del carico li dà la priorità rispetto ai certificati RSA. Se il client non supporta i certificati ECDSA, il bilanciatore del carico fornisce un certificato RSA.
- Dimensioni del certificato. Poiché i certificati più piccoli richiedono meno larghezza di banda, il bilanciatore del carico dà la priorità ai certificati più piccoli rispetto a quelli più grandi.
Nomi di dominio con caratteri jolly
Ai nomi di dominio jolly si applicano le seguenti regole:
- Solo i certificati gestiti da Google con autorizzazione DNS e i certificati gestiti da Google con il servizio CA supportano i nomi di dominio con caratteri jolly. I certificati gestiti da Google con autorizzazione per il bilanciamento del carico non supportano i nomi di dominio con caratteri jolly.
- Una corrispondenza esatta ha la precedenza su un carattere jolly quando entrambi sono definiti nella voce. Ad esempio, se hai configurato voci della mappa dei certificati per
www.myorg.example.come*.myorg.example.com, una richiesta di connessione awww.myorg.example.comseleziona sempre la voce perwww.myorg.example.comanche se esiste anche una voce per*.myorg.example.com. - I nomi di dominio con caratteri jolly corrispondono solo al primo livello di sottodomini. Ad esempio,
una richiesta di connessione per
host1.myorg.example.comseleziona una voce della mappa dei certificati per*.myorg.example.com, ma non perhost1.hosts.myorg.example.com.
Rinnovo del certificato
I certificati gestiti da Google vengono rinnovati automaticamente. Devi rinnovare manualmente i certificati gestiti autonomamente. Se necessario, puoi configurare gli avvisi di Cloud Logging per i certificati prima della loro scadenza. Per ulteriori informazioni, consulta Configurare gli avvisi dei log.