O Gerenciador de certificados usa um mecanismo de mapeamento flexível que oferece controle granular sobre quais certificados você pode atribuir e como fornecê-los para cada nome de domínio no seu ambiente.
O diagrama a seguir mostra as relações entre os componentes do Gerenciador de certificados para um proxy de destino típico especificado em uma regra de encaminhamento do balanceador de carga:
Para saber mais sobre os componentes do Gerenciador de certificados, consulte Componentes essenciais.
Lógica de seleção de certificado
De modo geral, o balanceador de carga seleciona um certificado da seguinte maneira:
Um cliente inicia um handshake, que é uma solicitação de conexão para o serviço por trás do balanceador de carga.
Durante o handshake, o cliente fornece ao balanceador de carga uma lista de algoritmos criptográficos que ele usa para concluir o handshake e, opcionalmente, o nome do host que ele está tentando alcançar. Esse nome de host também é chamado de indicação de nome do servidor (SNI).
Ao receber a solicitação, o balanceador de carga seleciona um certificado para concluir o handshake seguro.
Correspondência exata de nome de host: se o nome de host fornecido pelo cliente corresponder exatamente a uma entrada de nome de host no mapa de certificado provisionado, o balanceador de carga selecionará o certificado correspondente.
Correspondência de nome de host com caractere curinga: se o nome de host do cliente não corresponder a nenhuma das entradas de nome de host no mapa de certificado provisionado, mas corresponder a um nome de host com caractere curinga em uma entrada de mapa de certificado, o balanceador de carga vai selecionar o certificado correspondente.
Por exemplo, uma entrada curinga configurada como
*.myorg.example.comabrange subdomínios de primeiro nível no domíniomyorg.example.com.Nenhuma correspondência exata ou curinga de nome de host: se o nome de host do cliente não corresponder a nenhuma das entradas de nome de host no mapa de certificado provisionado, o balanceador de carga selecionará a entrada de mapa de certificado principal.
Falha de handshake: se o cliente não fornecer um nome de host e a entrada do mapa de certificado principal não estiver configurada, o handshake vai falhar.
Prioridade do certificado
Ao selecionar um certificado, o balanceador de carga os prioriza com base nos seguintes fatores:
- Tipo de certificado. Se o cliente for compatível com os certificados ECDSA, o balanceador de carga vai priorizar esses certificados em vez dos certificados RSA. Se o cliente não oferecer suporte a certificados ECDSA, o balanceador de carga vai oferecer um certificado RSA.
- Tamanho do certificado. Como os certificados menores consomem menos largura de banda, o balanceador de carga prioriza os menores em vez dos maiores.
Nomes de domínio curinga
As regras a seguir se aplicam a nomes de domínio curinga:
- Somente certificados gerenciados pelo Google com autorização de DNS e certificados gerenciados pelo Google com o serviço de AC são compatíveis com nomes de domínio curinga. Certificados gerenciados pelo Google com autorização do balanceador de carga não são compatíveis com nomes de domínio curinga.
- Uma correspondência exata tem precedência sobre um caractere curinga quando ambos são definidos na
entrada. Por exemplo, se você configurou entradas de mapeamento de certificado para
www.myorg.example.come*.myorg.example.com, uma solicitação de conexão contrawww.myorg.example.comsempre seleciona a entrada parawww.myorg.example.com, mesmo que uma entrada para*.myorg.example.comtambém exista. - Os nomes de domínio curinga correspondem apenas ao primeiro nível de subdomínios. Por exemplo,
uma solicitação de conexão para
host1.myorg.example.comseleciona uma entrada de mapa de certificado para*.myorg.example.com, mas não parahost1.hosts.myorg.example.com.
Renovação de certificados
Os certificados gerenciados pelo Google são renovados automaticamente. É necessário renovar certificados autogerenciados manualmente. Se necessário, configure alertas do Cloud Logging para certificados antes do vencimento. Para mais informações, consulte Configurar alertas de registro.