Cette page présente les principaux composants et concepts de Certificate Manager.
Certificats
Un certificat représente un certificat (SSL) Transport Layer Security (TLS) X.509 unique émis pour des noms ou des caractères génériques de domaine spécifiques.
Le gestionnaire de certificats est compatible avec les types de certificats suivants :
- Certificats gérés par Google : certificats que Google Cloudobtient et gère pour vous. Lorsqu'un nouveau certificat géré par Google est émis ou renouvelé, Certificate Manager utilise une clé privée nouvellement générée pour le certificat.
- Certificats autogérés : certificats que vous obtenez, provisionnez et renouvelez vous-même.
Certificats gérés par Google
Les certificats gérés par Google sont des certificats TLS que Google Cloud obtient et gère pour vous. Le gestionnaire de certificats vous permet de créer, de gérer et de renouveler automatiquement vos certificats gérés par Google. Le gestionnaire de certificats vous permet également de valider la propriété d'un domaine à l'aide d'une autorisation basée sur un équilibreur de charge ou sur un DNS.
Certificate Manager est compatible avec les autorités de certification (CA) publiques et l'autorité de certification Let's Encrypt. Par défaut, lPublic CA émet des certificats gérés par Google. Si vous ne parvenez pas à obtenir de certificat auprès de l'Public CA pour un domaine spécifique, Certificate Manager se rabat sur l'autorité de certification Let's Encrypt. Cela peut se produire lorsque l&#Public CA refuse d'émettre un certificat pour un domaine ou lorsque votre enregistrement CAA (Certificate Authority Authorization) interdit explicitement à l'Public CA d'émettre des certificats pour ce domaine. Pour savoir comment limiter les autorités de certification susceptibles d'émettre des certificats pour vos domaines, consultez Spécifier les autorités de certification qui peuvent émettre un certificat géré par Google.
Voici quelques points importants à prendre en compte lorsque vous utilisez des certificats gérés par Google avec Certificate Manager :
- Le gestionnaire de certificats est compatible avec les certificats RSA gérés par Google.
- Les certificats régionaux gérés par Google n'acceptent que l'autorisation basée sur le DNS et obtiennent des certificats auprès de l'autorité de certification publique.
- L'utilisation de certificats gérés par Google comme certificats client pour l'authentification TLS mutuelle n'est pas acceptée.
- La durée de validité par défaut des certificats publics gérés par Google est de 90 jours pour tous les domaines d'application, à l'exception de
EDGE_CACHE, qui a une durée de validité de 30 jours. Il n'est pas possible de modifier la validité des certificats publics gérés par Google.
Certificats publics et privés
Le gestionnaire de certificats peut gérer les certificats publics et privés. Certificate Manager obtient des certificats publics, qui sécurisent souvent les services publics, auprès d'une autorité de certification publique. Les principaux navigateurs, systèmes d'exploitation et applications reconnaissent l'Public CA comme racine de confiance. Certificate Manager obtient les certificats privés, qui sécurisent souvent les services privés, auprès de CA Service.
Certificats autogérés
Si vous ne pouvez pas utiliser de certificats gérés par Google en raison des exigences de votre entreprise, vous pouvez importer des certificats émis par des autorités de certification externes, ainsi que leurs clés associées. Vous devez émettre et renouveler manuellement ces certificats autogérés.
Types de clés acceptés
Les équilibreurs de charge sont compatibles avec les certificats qui utilisent des clés privées de différents types. Le tableau suivant indique les types de clés compatibles selon que les certificats sont autogérés ou gérés par Google.|
Type de certificat SSL arrow_forward Type de clé arrow_downward |
Certificats SSL du gestionnaire de certificats | ||
|---|---|---|---|
| Monde et régional | |||
| Autogéré | Clé publique gérée par Google et approuvée publiquement | Géré par Google et approuvé de manière privée | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorisations de domaine
Le gestionnaire de certificats vous permet de prouver que vous êtes propriétaire des domaines pour lesquels vous souhaitez émettre des certificats gérés par Google de l'une des manières suivantes :
Autorisation de l'équilibreur de charge : déployez le certificat directement sur un équilibreur de charge compatible sans créer d'enregistrement DNS.
Autorisation DNS : déployez le certificat directement sur un équilibreur de charge compatible après avoir créé des enregistrements DNS dédiés pour valider la propriété du domaine.
Pour en savoir plus, consultez Types d'autorisation de domaine pour les certificats gérés par Google.
Vous n'avez pas besoin d'autorisations de domaine pour les certificats autogérés.
Mappages de certificats
Un mappage de certificat référence une ou plusieurs entrées de mappage de certificat qui attribuent des certificats spécifiques à des noms d'hôte spécifiques. Les entrées du mappage de certificats définissent également la logique de sélection que l'équilibreur de charge suit lors de l'établissement des connexions client. Vous pouvez associer un mappage de certificats à plusieurs proxys cibles pour le réutiliser sur plusieurs équilibreurs de charge.
Si un client demande un nom d'hôte spécifié dans un mappage de certificat, l'équilibreur de charge fournit les certificats mappés à ce nom d'hôte. Sinon, l'équilibreur de charge diffuse le certificat principal, qui est le premier certificat listé pour un proxy cible. Pour en savoir plus, consultez Fonctionnement du Gestionnaire de certificats.
Les équilibreurs de charge suivants sont compatibles avec les mappages de certificats :
- Équilibreur de charge d'application externe global
- Équilibreur de charge réseau proxy externe global
Pour en savoir plus sur la création et la gestion des mappages de certificats, consultez Gérer les mappages de certificats.
Entrées de mappages de certificats
Une entrée de mappage de certificat est une liste de certificats qui sont diffusés pour un nom de domaine spécifique. Vous pouvez définir différents ensembles de certificats pour le même domaine. Par exemple, vous pouvez importer un certificat ECDSA et un certificat RSA, et les mapper au même nom de domaine.
Lorsqu'un client se connecte à un nom de domaine, l'équilibreur de charge négocie le type de certificat à fournir au client lors du handshake.
Vous pouvez associer jusqu'à quatre certificats à une même entrée de mappage de certificat.
Pour en savoir plus sur la création et la gestion des entrées de mappage de certificats, consultez Gérer les entrées de mappage de certificats.
Configurations de confiance
Une configuration de confiance est une ressource qui représente votre configuration d'infrastructure à clé publique (PKI) dans le gestionnaire de certificats. Elle est utilisée dans les scénarios d'authentification TLS mutuelle. Cette configuration de confiance encapsule un seul magasin de confiance, lequel encapsule à son tour une ancre de confiance et, éventuellement, un ou plusieurs certificats intermédiaires.
Pour en savoir plus sur l'authentification TLS mutuelle (mTLS), consultez la présentation de TLS mutuelle dans la documentation Cloud Load Balancing.
Pour en savoir plus sur les configurations de confiance et leurs composants, consultez Gérer les configurations de confiance.
Magasins de confiance
Un magasin de confiance représente la configuration du secret de confiance dans le gestionnaire de certificats. Il est utilisé dans les scénarios d'authentification TLS mutuelle. Un magasin de confiance encapsule une seule ancre de confiance et, éventuellement, un ou plusieurs certificats intermédiaires.
Les limites suivantes s'appliquent aux ressources de configuration de l'approbation :
- Une ressource de configuration de confiance peut contenir un seul magasin de confiance.
- Un truststore peut contenir jusqu'à 200 ancres de confiance et jusqu'à 100 certificats CA intermédiaires.
Ancres de confiance
Une ancre de confiance représente un seul certificat racine à utiliser dans les scénarios d'authentification TLS mutuelle. Une ancre de confiance est encapsulée dans un magasin de confiance.
Certificats intermédiaires
Un certificat intermédiaire est un certificat signé par un certificat racine ou un autre certificat intermédiaire dans le magasin de certificats de confiance. Les certificats intermédiaires sont utilisés pour l'authentification TLS mutuelle.
Si vous disposez de certificats intermédiaires, un ou plusieurs d'entre eux peuvent être encapsulés dans un store de confiance, en fonction de votre configuration PKI. En plus des certificats intermédiaires existants, la configuration de confiance inclut tous les certificats intermédiaires dans l'évaluation de la confiance pour toutes les demandes de connexion.
Certificats nécessitant une liste d'autorisation
Pour permettre aux clients de s'authentifier avec un certificat autosigné, expiré ou non valide, ajoutez le certificat au champ allowlistedCertificates de la configuration de confiance. Vous pouvez également ajouter le certificat si vous n'avez pas accès aux certificats racine et intermédiaires.
Vous n'avez pas besoin d'un truststore pour ajouter un certificat à une liste d'autorisation.
Lorsque vous ajoutez un certificat à la liste d'autorisation, le gestionnaire de certificats le considère comme valide s'il remplit les conditions suivantes :
- Le certificat est analysable.
- Le client prouve qu'il possède la clé privée du certificat.
- Les contraintes sur le champ "Autre nom de l'objet (SAN)" sont respectées.
Configurations d'émission de certificats
Une configuration d'émission de certificats est une ressource qui permet à Certificate Manager d'utiliser un pool d'autorités de certification de votre propre instance Certificate Authority Service pour émettre des certificats gérés par Google. Une configuration d'émission de certificats vous permet de spécifier des paramètres pour l'émission et l'expiration des certificats, ainsi que l'algorithme de clé pour les certificats émis.
Pour en savoir plus sur la création et la gestion des configurations d'émission de certificats, consultez Gérer les ressources de configuration d'émission de certificats.