Cette page présente les principaux composants et concepts du Gestionnaire de certificats.
Certificats
Un certificat représente un certificat (SSL) Transport Layer Security (TLS) X.509 unique émis pour des noms ou des caractères génériques de domaine spécifiques.
Le Gestionnaire de certificats est compatible avec les types de certificats suivants:
- Certificats gérés par Google: certificats que Google récupère et gère pour vous. Google CloudLorsqu'un nouveau certificat géré par Google est émis ou renouvelé, le Gestionnaire de certificats utilise une clé privée fraîchement générée pour le certificat.
- Certificats autogérés: certificats que vous obtenez, provisionnez et renouvelez vous-même.
Certificats gérés par Google
Les certificats gérés par Google sont des certificats TLS que Google Cloud obtient et gère pour vous. Le gestionnaire de certificats vous permet de créer, de gérer et de renouveler automatiquement vos certificats gérés par Google. Le Gestionnaire de certificats vous permet également de valider la propriété du domaine à l'aide d'une autorisation basée sur un équilibreur de charge ou sur un DNS.
Le Gestionnaire de certificats est compatible avec les autorités de certification publiques et l'autorité de certification Let's Encrypt. Par défaut, l'autorité de certification publique délivre des certificats gérés par Google. Si vous ne parvenez pas à obtenir de certificat auprès de l'autorité de certification publique pour un domaine donné, le Gestionnaire de certificats utilise l'autorité de certification Let's Encrypt. Cela peut se produire lorsque l'autorité de certification publique refuse de délivrer un certificat pour un domaine ou que votre enregistrement CAA (Certificate Authority Authorization) interdit explicitement à l'autorité de certification publique de délivrer des certificats pour ce domaine. Pour en savoir plus sur la façon de limiter les autorités de certification pouvant émettre des certificats pour vos domaines, consultez la section Spécifier les autorités de certification qui peuvent émettre votre certificat géré par Google.
Voici quelques points importants à garder à l'esprit lorsque vous utilisez des certificats gérés par Google avec le Gestionnaire de certificats:
- Le gestionnaire de certificats est compatible avec les certificats RSA gérés par Google.
- Les certificats régionaux gérés par Google ne sont compatibles qu'avec l'autorisation basée sur le DNS et obtiennent des certificats auprès de l'autorité de certification publique.
- L'utilisation de certificats gérés par Google en tant que certificats client pour l'authentification TLS mutuelle n'est pas prise en charge.
Certificats publics et privés
Le gestionnaire de certificats peut gérer à la fois les certificats publics et privés. Le Gestionnaire de certificats obtient les certificats publics, qui sécurisent souvent les services publics, auprès de l'autorité de certification publique. Les principaux navigateurs, systèmes d'exploitation et applications reconnaissent l'autorité de certification publique comme racine de confiance. Le Gestionnaire de certificats obtient des certificats privés, qui sécurisent souvent des services privés, auprès du service d'autorité de certification.
Certificats autogérés
Si vous ne pouvez pas utiliser de certificats gérés par Google en raison de vos exigences métier, vous pouvez importer des certificats émis par des autorités de certification externes, ainsi que les clés associées. Vous devez émettre et renouveler manuellement ces certificats autogérés.
Autorisations de domaine
Le gestionnaire de certificats vous permet de prouver que vous êtes propriétaire des domaines pour lesquels vous souhaitez délivrer des certificats gérés par Google de l'une des manières suivantes:
Autorisation de l'équilibreur de charge: déployez le certificat directement sur un équilibreur de charge compatible sans créer d'enregistrement DNS.
Autorisation DNS: déployez le certificat directement sur un équilibreur de charge compatible après avoir créé des enregistrements DNS dédiés pour valider la propriété du domaine.
Pour en savoir plus, consultez la section Types d'autorisation de domaine pour les certificats gérés par Google.
Vous n'avez pas besoin d'autorisations de domaine pour les certificats autogérés.
Mappages de certificats
Un mappage de certificat référence une ou plusieurs entrées de mappage de certificat qui attribuent des certificats spécifiques à des noms d'hôte spécifiques. Les entrées de la carte de certificats définissent également la logique de sélection suivie par l'équilibreur de charge lors de l'établissement de connexions client. Vous pouvez associer un mappage de certificats à plusieurs proxys cibles pour le réutiliser dans plusieurs équilibreurs de charge.
Si un client demande un nom d'hôte spécifié dans un mappage de certificat, l'équilibreur de charge diffuse les certificats mappés à ce nom d'hôte. Sinon, l'équilibreur de charge diffuse le certificat principal, qui est le premier certificat listé pour un proxy cible. Pour en savoir plus, consultez la section Fonctionnement du gestionnaire de certificats.
Pour en savoir plus sur la création et la gestion de mappages de certificats, consultez Gérer les mappages de certificats.
Entrées de mappages de certificats
Une entrée de mappage de certificats est une liste de certificats qui sont diffusés pour un nom de domaine spécifique. Vous pouvez définir différents ensembles de certificats pour le même domaine. Par exemple, vous pouvez importer un certificat ECDSA et un certificat RSA, et les mapper au même nom de domaine.
Lorsqu'un client se connecte à un nom de domaine, l'équilibreur de charge négocie le type de certificat à fournir au client lors du handshake.
Vous pouvez associer au maximum quatre certificats à une seule entrée de mappage de certificats.
Pour en savoir plus sur la création et la gestion d'entrées de mappage de certificats, consultez la section Gérer les entrées de mappage de certificats.
Configurations de confiance
Une configuration de confiance est une ressource qui représente votre configuration d'infrastructure à clé publique (PKI) dans le gestionnaire de certificats. Elle est utilisée dans les scénarios d'authentification TLS mutuelle. Il encapsule un seul magasin de confiance, lequel encapsule à son tour une ancre de confiance et, éventuellement, un ou plusieurs certificats intermédiaires.
Pour en savoir plus sur l'authentification TLS mutuelle (mTLS), consultez la présentation de mTLS dans la documentation de Cloud Load Balancing.
Pour en savoir plus sur les configurations de confiance et leurs composants, consultez Gérer les configurations de confiance.
Magasins de confiance
Un magasin de confiance représente la configuration du secret de confiance dans le gestionnaire de certificats. Il est utilisé dans les scénarios d'authentification TLS mutuelle. Un magasin de confiance encapsule une seule ancre de confiance et, éventuellement, un ou plusieurs certificats intermédiaires.
Les limites suivantes s'appliquent aux ressources de configuration de confiance:
- Une ressource de configuration de confiance ne peut contenir qu'un seul magasin de confiance.
- Un truststore peut contenir jusqu'à 200 ancres de confiance et 100 certificats CA intermédiaires.
Ancres de confiance
Un ancrage de confiance représente un seul certificat racine à utiliser dans les scénarios d'authentification TLS mutuelle. Une ancre de confiance est encapsulée dans un magasin de confiance.
Certificats intermédiaires
Un certificat intermédiaire est un certificat signé par un certificat racine ou un autre certificat intermédiaire du magasin de confiance. Les certificats intermédiaires sont utilisés pour l'authentification TLS mutuelle.
Si vous disposez de certificats intermédiaires, un ou plusieurs d'entre eux peuvent être encapsulés dans un magasin de confiance, en fonction de la configuration de votre PKI. En plus des certificats intermédiaires existants, la configuration de confiance inclut tous les certificats intermédiaires dans l'évaluation de la confiance pour toutes les requêtes de connexion.
Certificats nécessitant une liste d'autorisation
Pour autoriser les clients à s'authentifier avec un certificat autosigné, expiré ou non valide, ajoutez le certificat au champ allowlistedCertificates de la configuration de confiance. Vous pouvez également ajouter le certificat si vous n'avez pas accès aux certificats racine et intermédiaires.
Vous n'avez pas besoin d'un magasin de confiance pour ajouter un certificat à une liste d'autorisation.
Lorsque vous ajoutez un certificat à la liste d'autorisation, le Gestionnaire de certificats considère qu'il est valide si les conditions suivantes sont remplies:
- Le certificat est analysable.
- Le client prouve qu'il est en possession de la clé privée du certificat.
- Les contraintes du champ "Autre nom de l'objet (SAN)" sont respectées.
Configurations d'émission de certificats
Une configuration d'émission de certificats est une ressource qui permet au Gestionnaire de certificats d'utiliser un pool d'autorités de certification à partir de votre propre instance Certificate Authority Service pour émettre des certificats gérés par Google. Une configuration d'émission de certificats vous permet de spécifier des paramètres pour l'émission et l'expiration des certificats, ainsi que l'algorithme de clé pour les certificats émis.
Pour en savoir plus sur la création et la gestion des configurations d'émission de certificats, consultez Gérer les ressources de configuration d'émission de certificats.