Halaman ini memberikan ringkasan komponen dan konsep inti Certificate Manager.
Sertifikat
Sertifikat merepresentasikan satu sertifikat X.509 Transport Layer Security (TLS) (SSL) yang dikeluarkan untuk nama domain atau karakter pengganti domain tertentu.
Pengelola Sertifikat mendukung jenis sertifikat berikut:
- Sertifikat yang dikelola Google: sertifikat yang Google Cloud diperoleh dan dikelola untuk Anda. Saat sertifikat baru yang dikelola Google diterbitkan atau diperpanjang, Certificate Manager menggunakan kunci pribadi yang baru dibuat untuk sertifikat tersebut.
- Sertifikat yang dikelola sendiri: sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri.
Sertifikat yang dikelola Google
Sertifikat yang dikelola Google adalah sertifikat TLS yang Google Cloud diperoleh dan dikelola untuk Anda. Certificate Manager memungkinkan Anda membuat, mengelola, dan memperpanjang sertifikat yang dikelola Google secara otomatis. Certificate Manager juga memungkinkan Anda memverifikasi kepemilikan domain dengan menggunakan otorisasi berbasis load balancer atau otorisasi berbasis DNS.
Certificate Manager mendukung Public Certificate Authority (CA) dan CA Let's Encrypt. Secara default, CA Publik menerbitkan sertifikat yang dikelola Google. Jika Anda tidak dapat memperoleh sertifikat dari CA Publik untuk domain tertentu, Pengelola Sertifikat akan melakukan penggantian ke CA Let's Encrypt. Hal ini dapat terjadi dalam situasi ketika CA Publik menolak menerbitkan sertifikat untuk domain, atau data Authorization Certificate Authority (CAA) Anda secara eksplisit melarang CA Publik menerbitkan sertifikat untuk domain tersebut. Untuk mengetahui informasi selengkapnya tentang cara membatasi CA yang dapat menerbitkan sertifikat untuk domain Anda, lihat Menentukan CA yang dapat menerbitkan sertifikat yang dikelola Google.
Beberapa poin penting yang perlu diingat saat menggunakan sertifikat yang dikelola Google dengan Certificate Manager:
- Certificate Manager mendukung sertifikat yang dikelola Google RSA.
- Sertifikat yang dikelola Google regional hanya mendukung otorisasi berbasis DNS dan mendapatkan sertifikat dari CA Publik.
- Penggunaan sertifikat yang dikelola Google sebagai sertifikat klien untuk TLS bersama tidak didukung.
- Masa berlaku default sertifikat publik yang dikelola Google adalah 90 hari untuk semua cakupan, kecuali
EDGE_CACHE, yang memiliki masa berlaku 30 hari. Mengubah validitas sertifikat yang dikelola Google dan bersifat publik tidak didukung.
Sertifikat publik dan pribadi
Certificate Manager dapat mengelola sertifikat publik dan pribadi. Pengelola Sertifikat mendapatkan sertifikat publik, yang sering mengamankan layanan publik, dari CA Publik. Browser, sistem operasi, dan aplikasi utama mengenali CA Publik sebagai akar kepercayaan. Certificate Manager mendapatkan sertifikat pribadi, yang sering kali mengamankan layanan pribadi, dari CA Service.
Sertifikat yang dikelola sendiri
Jika Anda tidak dapat menggunakan sertifikat yang dikelola Google karena persyaratan bisnis, Anda dapat mengupload sertifikat yang diterbitkan oleh CA eksternal beserta kunci terkaitnya. Anda harus menerbitkan dan memperpanjang sertifikat yang dikelola sendiri ini secara manual.
Jenis kunci yang didukung
Load balancer mendukung sertifikat yang menggunakan kunci pribadi dari berbagai jenis kunci. Tabel berikut menunjukkan dukungan jenis kunci, bergantung pada apakah sertifikat dikelola sendiri atau dikelola Google.|
Jenis sertifikat SSL arrow_forward Jenis kunci arrow_downward |
Sertifikat SSL Certificate Manager | ||
|---|---|---|---|
| Global dan regional | |||
| Dikelola sendiri | Dikelola Google dan dipercaya publik | Dikelola Google dan dipercaya secara pribadi | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Otorisasi domain
Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikatnya dikelola Google ingin Anda terbitkan dengan salah satu cara berikut:
Otorisasi load balancer: men-deploy sertifikat langsung ke load balancer yang didukung tanpa membuat data DNS.
Otorisasi DNS: men-deploy sertifikat langsung ke load balancer yang didukung setelah membuat data DNS khusus untuk verifikasi kepemilikan domain.
Untuk mengetahui informasi selengkapnya, lihat Jenis otorisasi domain untuk sertifikat yang dikelola Google.
Anda tidak memerlukan otorisasi domain untuk sertifikat yang dikelola sendiri.
Peta sertifikat
Peta sertifikat mereferensikan satu atau beberapa entri peta sertifikat yang menetapkan sertifikat tertentu ke nama host tertentu. Entri peta sertifikat juga menentukan logika pemilihan yang diikuti load balancer saat membuat koneksi klien. Anda dapat mengaitkan peta sertifikat dengan beberapa proxy target untuk digunakan kembali di beberapa load balancer.
Jika klien meminta nama host yang ditentukan dalam peta sertifikat, load balancer akan menayangkan sertifikat yang dipetakan ke nama host tersebut. Jika tidak, load balancer akan menayangkan sertifikat utama, yang merupakan sertifikat pertama yang tercantum untuk proxy target. Untuk mengetahui informasi selengkapnya, lihat Cara kerja Certificate Manager.
Load balancer berikut mendukung peta sertifikat:
- Load Balancer Aplikasi eksternal global
- Load Balancer Jaringan proxy eksternal global
Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola peta sertifikat, lihat Mengelola peta sertifikat.
Entri peta sertifikat
Entri peta sertifikat adalah daftar sertifikat yang ditayangkan untuk nama domain tertentu. Anda dapat menentukan berbagai kumpulan sertifikat untuk domain yang sama. Misalnya, Anda dapat mengupload sertifikat ECDSA dan RSA, lalu memetakannya ke nama domain yang sama.
Saat klien terhubung ke nama domain, load balancer akan menegosiasikan jenis sertifikat yang akan diberikan kepada klien selama handshake.
Anda dapat mengaitkan maksimum empat sertifikat dengan satu entri peta sertifikat.
Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola entri peta sertifikat, lihat Mengelola entri peta sertifikat.
Konfigurasi tepercaya
Konfigurasi kepercayaan adalah resource yang merepresentasikan konfigurasi infrastruktur kunci publik (PKI) Anda di Certificate Manager untuk digunakan dalam skenario autentikasi TLS timbal balik. Objek ini mencakup satu penyimpanan tepercaya, yang pada gilirannya mencakup anchor tepercaya dan, secara opsional, satu atau beberapa sertifikat perantara.
Untuk mempelajari autentikasi TLS bersama (mTLS) lebih lanjut, lihat Ringkasan TLS bersama dalam dokumentasi Cloud Load Balancing.
Untuk mengetahui informasi selengkapnya tentang konfigurasi kepercayaan dan komponennya, lihat Mengelola konfigurasi kepercayaan.
Toko tepercaya
Trust store merepresentasikan konfigurasi rahasia tepercaya di Certificate Manager untuk digunakan dalam skenario autentikasi TLS bersama. Penyimpanan tepercaya merangkum satu anchor tepercaya dan, secara opsional, satu atau beberapa sertifikat perantara.
Batasan berikut berlaku untuk resource konfigurasi kepercayaan:
- Resource konfigurasi kepercayaan dapat menyimpan satu penyimpanan tepercaya.
- Trust store dapat menyimpan hingga 200 trust anchor, dan hingga 100 sertifikat CA perantara.
Trust anchor
Anchor kepercayaan mewakili satu sertifikat root untuk digunakan dalam skenario autentikasi TLS bersama. Trust anchor dienkapsulasi dalam trust store.
Intermediate certificate
Sertifikat perantara adalah sertifikat yang ditandatangani oleh sertifikat root atau sertifikat perantara lain di penyimpanan tepercaya. Sertifikat perantara digunakan untuk autentikasi TLS bersama.
Jika Anda memiliki sertifikat perantara, satu atau beberapa sertifikat perantara dapat dienkapsulasi dalam trust store, bergantung pada konfigurasi PKI Anda. Selain sertifikat perantara yang ada, konfigurasi kepercayaan mencakup semua sertifikat perantara sebagai bagian dari evaluasi kepercayaan untuk semua permintaan koneksi.
Sertifikat yang memerlukan daftar yang disetujui
Untuk mengizinkan klien melakukan autentikasi dengan sertifikat yang ditandatangani sendiri, sudah tidak berlaku, atau tidak valid, tambahkan sertifikat ke kolom allowlistedCertificates dari konfigurasi kepercayaan. Anda juga dapat menambahkan sertifikat jika tidak memiliki akses ke root certificate dan intermediate certificate.
Anda tidak memerlukan penyimpanan tepercaya untuk menambahkan sertifikat ke daftar yang diizinkan.
Saat Anda menambahkan sertifikat ke daftar yang diizinkan, Certificate Manager menganggap sertifikat tersebut valid jika sertifikat memenuhi kondisi berikut:
- Sertifikat dapat diuraikan.
- Klien membuktikan kepemilikan kunci pribadi sertifikat.
- Batasan pada kolom Nama Alternatif Subjek (SAN) terpenuhi.
Konfigurasi penerbitan sertifikat
Konfigurasi penerbitan sertifikat adalah resource yang memungkinkan Pengelola Sertifikat menggunakan kumpulan CA dari instance Certificate Authority Service Anda sendiri untuk menerbitkan sertifikat yang dikelola Google. Konfigurasi penerbitan sertifikat memungkinkan Anda menentukan parameter untuk penerbitan dan masa berlaku sertifikat, serta algoritma kunci untuk sertifikat yang diterbitkan.
Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola konfigurasi penerbitan sertifikat, lihat Mengelola resource konfigurasi penerbitan sertifikat.