Auf dieser Seite erhalten Sie einen Überblick über die Kernkomponenten und ‑konzepte von Certificate Manager.
Zertifikate
Ein Zertifikat stellt ein einzelnes Zertifikat vom Typ X.509 Transport Layer Security (TLS) (SSL) dar, das für bestimmte Domainnamen oder Domainplatzhalter ausgestellt wird.
Certificate Manager unterstützt die folgenden Zertifikatstypen:
- Von Google verwaltete Zertifikate: Zertifikate, die Google Cloudfür Sie abruft und verwaltet. Wenn ein neues von Google verwaltetes Zertifikat ausgestellt oder verlängert wird, verwendet Certificate Manager einen neu generierten privaten Schlüssel für das Zertifikat.
- Selbstverwaltete Zertifikate: Zertifikate, die Sie selbst beziehen, bereitstellen und verlängern.
Von Google verwaltete Zertifikate
Von Google verwaltete Zertifikate sind TLS-Zertifikate, die Google Cloud für Sie abruft und verwaltet. Mit Certificate Manager können Sie von Google verwaltete Zertifikate erstellen, verwalten und automatisch verlängern. Mit Certificate Manager können Sie die Domaininhaberschaft auch mithilfe der Load-Balancer-Autorisierung oder der DNS-Autorisierung bestätigen.
Certificate Manager unterstützt öffentliche Zertifizierungsstellen und Let's Encrypt-Zertifizierungsstellen. Standardmäßig stellt Public CA von Google verwaltete Zertifikate aus. Wenn Sie für eine bestimmte Domain kein Zertifikat von Public CA erhalten können, greift Certificate Manager auf die Let's Encrypt-Zertifizierungsstelle zurück. Dies kann passieren, wenn Public CA die Ausstellung eines Zertifikats für eine Domain ablehnt oder Ihr CAA-Eintrag (Certificate Authority Authorization) Public CA explizit daran hindert, Zertifikate für diese Domain auszustellen. Weitere Informationen dazu, wie Sie die Zertifizierungsstellen einschränken, die Zertifikate für Ihre Domains ausstellen dürfen, finden Sie unter Die Zertifizierungsstellen angeben, die Ihr von Google verwaltetes Zertifikat ausstellen können.
Bei der Verwendung von von Google verwalteten Zertifikaten mit Certificate Manager sollten Sie Folgendes beachten:
- Certificate Manager unterstützt von Google verwaltete RSA-Zertifikate.
- Regionale von Google verwaltete Zertifikate unterstützen nur die DNS-basierte Autorisierung und beziehen Zertifikate von der öffentlichen Zertifizierungsstelle.
- Die Verwendung von von Google verwalteten Zertifikaten als Clientzertifikate für gegenseitiges TLS wird nicht unterstützt.
- Die Standardgültigkeit von öffentlichen, von Google verwalteten Zertifikaten beträgt 90 Tage für alle Bereiche außer
EDGE_CACHE, für die eine Gültigkeit von 30 Tagen gilt. Das Ändern der Gültigkeit von öffentlichen von Google verwalteten Zertifikaten wird nicht unterstützt.
Öffentliche und private Zertifikate
Mit Certificate Manager können sowohl öffentliche als auch private Zertifikate verwaltet werden. Certificate Manager ruft öffentliche Zertifikate, die häufig öffentliche Dienste schützen, von öffentlichen Zertifizierungsstellen ab. Die wichtigsten Browser, Betriebssysteme und Anwendungen erkennen Public CA als Root of Trust an. Certificate Manager ruft private Zertifikate, mit denen häufig private Dienste gesichert werden, vom CA Service ab.
Selbstverwaltete Zertifikate
Wenn Sie aufgrund Ihrer geschäftlichen Anforderungen keine von Google verwalteten Zertifikate verwenden können, haben Sie die Möglichkeit, von externen Zertifizierungsstellen ausgestellte Zertifikate zusammen mit den zugehörigen Schlüsseln hochzuladen. Sie müssen diese selbst verwalteten Zertifikate manuell ausstellen und verlängern.
Unterstützte Schlüsseltypen
Load Balancer unterstützen Zertifikate, die private Schlüssel verschiedener Schlüsseltypen verwenden. Die folgende Tabelle zeigt die Unterstützung von Schlüsseltypen je nachdem, ob die Zertifikate selbstverwaltet oder von Google verwaltet sind.|
SSL-Zertifikattyp arrow_forward Schlüsseltyp arrow_downward |
Certificate Manager-SSL-Zertifikate | ||
|---|---|---|---|
| Global und regional | |||
| Selbstverwaltet | Öffentlich vertrauenswürdig und von Google verwaltet | Privat vertrauenswürdig, von Google verwaltet | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Domänenautorisierungen
Mit Certificate Manager können Sie die Inhaberschaft von Domains, für die Sie von Google verwaltete Zertifikate ausstellen möchten, auf eine der folgenden Arten nachweisen:
Load-Balancer-Autorisierung: Das Zertifikat wird direkt auf einem unterstützten Load-Balancer bereitgestellt, ohne dass ein DNS-Eintrag erstellt werden muss.
DNS-Autorisierung: Stellen Sie das Zertifikat direkt auf einem unterstützten Load Balancer bereit, nachdem Sie spezielle DNS-Einträge zur Bestätigung der Domaininhaberschaft erstellt haben.
Weitere Informationen finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.
Für selbstverwaltete Zertifikate sind keine Domainautorisierungen erforderlich.
Zertifikatszuordnungen
Eine Zertifikatszuordnung verweist auf einen oder mehrere Zertifikatszuordnungseinträge, die bestimmte Zertifikate bestimmten Hostnamen zuweisen. Einträge in der Zertifikatszuordnung definieren auch die Auswahllogik, die der Load-Balancer beim Herstellen von Clientverbindungen verwendet. Sie können eine Zertifikatszuordnung mit mehreren Zielproxys verknüpfen, um sie in mehreren Load-Balancern wiederzuverwenden.
Wenn ein Client einen in einer Zertifikatszuordnung angegebenen Hostnamen anfordert, stellt der Load-Balancer die diesem Hostnamen zugeordneten Zertifikate bereit. Andernfalls stellt der Load-Balancer das primäre Zertifikat bereit, das das erste Zertifikat ist, das für einen Zielproxy aufgeführt wird. Weitere Informationen finden Sie unter Funktionsweise des Zertifikatmanagers.
Die folgenden Load-Balancer unterstützen Zertifikatzuordnungen:
- Globaler externer Application Load Balancer
- Globaler externer Proxy-Network Load Balancer
Weitere Informationen zum Erstellen und Verwalten von Zertifikatszuordnungen finden Sie unter Zertifikatszuordnungen verwalten.
Einträge zu Zertifikatszuordnungen
Ein Eintrag der Zertifikatszuordnung ist eine Liste von Zertifikaten, die für einen bestimmten Domainnamen bereitgestellt werden. Sie können verschiedene Zertifikatsätze für dieselbe Domain definieren. Sie können beispielsweise ein ECDSA- und ein RSA-Zertifikat hochladen und sie demselben Domainnamen zuordnen.
Wenn ein Client eine Verbindung zu einem Domainnamen herstellt, handelt der Load-Balancer während des Handshakes den Zertifikatstyp aus, der dem Client bereitgestellt werden soll.
Sie können maximal vier Zertifikate mit einem einzelnen Zertifikatszuordnungseintrag verknüpfen.
Weitere Informationen zum Erstellen und Verwalten von Zertifikatszuordnungseinträgen finden Sie unter Zertifikatszuordnungseinträge verwalten.
Konfigurationen von Vertrauensstellungen
Eine Vertrauenskonfiguration ist eine Ressource, die Ihre Konfiguration der Public-Key-Infrastruktur (PKI) im Zertifikatmanager zur Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung darstellt. Sie enthält einen einzelnen Trust Store, der wiederum einen Trust-Anchor und optional ein oder mehrere Zwischenzertifikate enthält.
Weitere Informationen zur gegenseitigen TLS-Authentifizierung (mTLS) finden Sie in der Cloud Load Balancing-Dokumentation unter Gegenseitige TLS-Authentifizierung.
Weitere Informationen zu Vertrauenskonfigurationen und ihren Komponenten finden Sie unter Vertrauenskonfigurationen verwalten.
Vertrauenswürdige Shops
Ein Truststore stellt die Konfiguration des Trust-Secrets im Zertifikatmanager zur Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung dar. Ein Trust Store enthält einen einzelnen Trust-Anchor und optional ein oder mehrere Zwischenzertifikate.
Für Vertrauenskonfigurationsressourcen gelten die folgenden Einschränkungen:
- Eine Vertrauenskonfigurationsressource kann einen einzelnen Vertrauensspeicher enthalten.
- Ein Trust Store kann bis zu 200 Trust-Anchors und bis zu 100 Zwischen-CA-Zertifikate enthalten.
Trust-Anchors
Ein Vertrauensanker stellt ein einzelnes Root-Zertifikat für die Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung dar. Ein Trust-Anchor ist in einem Trust Store enthalten.
Zwischenzertifikate
Ein Zwischenzertifikat ist ein Zertifikat, das von einem Root-Zertifikat oder einem anderen Zwischenzertifikat im Trust Store signiert wird. Zwischenzertifikate werden für die gegenseitige TLS-Authentifizierung verwendet.
Wenn Sie Zwischenzertifikate haben, können je nach PKI-Konfiguration ein oder mehrere Zwischenzertifikate in einem Trust Store enthalten sein. Zusätzlich zu den vorhandenen Zwischenzertifikaten enthält die Vertrauenskonfiguration alle Zwischenzertifikate als Teil der Vertrauensbewertung für alle Verbindungsanfragen.
Zertifikate, für die eine Zulassungsliste erforderlich ist
Wenn Sie Clients die Authentifizierung mit einem selbst signierten, abgelaufenen oder ungültigen Zertifikat erlauben möchten, fügen Sie das Zertifikat dem Feld allowlistedCertificates der Trust-Konfiguration hinzu. Sie können das Zertifikat auch hinzufügen, wenn Sie keinen Zugriff auf die Root- und Zwischenzertifikate haben.
Sie benötigen keinen Trust Store, um ein Zertifikat einer Zulassungsliste hinzuzufügen.
Wenn Sie ein Zertifikat auf die Zulassungsliste setzen, betrachtet Certificate Manager das Zertifikat als gültig, wenn es die folgenden Bedingungen erfüllt:
- Das Zertifikat kann geparst werden.
- Der Client weist nach, dass er den privaten Schlüssel des Zertifikats besitzt.
- Die Einschränkungen für das Feld „Alternativer Antragstellername“ (SAN) werden eingehalten.
Konfigurationen der Zertifikatsausstellung
Eine Konfiguration für die Zertifikatausstellung ist eine Ressource, mit der Certificate Manager einen CA-Pool aus Ihrer eigenen Certificate Authority Service-Instanz verwenden kann, um von Google verwaltete Zertifikate auszustellen. Mit einer Konfiguration für die Zertifikatsausstellung können Sie Parameter für die Zertifikatsausstellung und das Ablaufdatum sowie den Schlüsselalgorithmus für ausgestellte Zertifikate angeben.
Weitere Informationen zum Erstellen und Verwalten von Konfigurationen für die Zertifikatsausstellung finden Sie unter Konfigurationsressourcen für die Zertifikatsausstellung verwalten.