Halaman ini memberikan ringkasan tentang komponen dan konsep inti Pengelola Sertifikat.
Sertifikat
Sertifikat mewakili satu sertifikat Transport Layer Security (TLS) (SSL) X.509 yang dikeluarkan untuk nama domain atau karakter pengganti domain tertentu.
Pengelola Sertifikat mendukung jenis sertifikat berikut:
- Sertifikat yang dikelola Google: sertifikat yang diperoleh dan dikelola Google Clouduntuk Anda. Saat sertifikat baru yang dikelola Google diterbitkan atau diperpanjang, Pengelola Sertifikat akan menggunakan kunci pribadi yang baru dibuat untuk sertifikat tersebut.
- Sertifikat yang dikelola sendiri: sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri.
Sertifikat yang dikelola Google
Sertifikat yang dikelola Google adalah sertifikat TLS yang Google Cloud diperoleh dan dikelola untuk Anda. Certificate Manager memungkinkan Anda membuat, mengelola, dan memperpanjang sertifikat yang dikelola Google secara otomatis. Pengelola Sertifikat juga memungkinkan Anda memverifikasi kepemilikan domain dengan menggunakan otorisasi berbasis load balancer atau otorisasi berbasis DNS.
Pengelola Sertifikat mendukung Certificate Authority (CA) Publik dan CA Let's Encrypt. Secara default, CA Publik menerbitkan sertifikat yang dikelola Google. Jika Anda tidak dapat memperoleh sertifikat dari Public CA untuk domain tertentu, Pengelola Sertifikat akan kembali ke CA Let's Encrypt. Hal ini dapat terjadi jika Public CA menolak untuk menerbitkan sertifikat untuk domain, atau data Certificate Authority Authorization (CAA) Anda secara eksplisit melarang Public CA menerbitkan sertifikat untuk domain tersebut. Untuk informasi selengkapnya tentang cara membatasi CA yang mungkin menerbitkan sertifikat untuk domain Anda, lihat Menentukan CA yang dapat menerbitkan sertifikat yang dikelola Google.
Beberapa poin penting yang perlu diingat saat menggunakan sertifikat yang dikelola Google dengan Pengelola Sertifikat:
- Certificate Manager mendukung sertifikat RSA yang dikelola Google.
- Sertifikat yang dikelola Google secara regional hanya mendukung otorisasi berbasis DNS dan mendapatkan sertifikat dari CA Publik.
- Penggunaan sertifikat yang dikelola Google sebagai sertifikat klien untuk TLS bersama tidak didukung.
Sertifikat publik dan pribadi
Pengelola Sertifikat dapat mengelola sertifikat publik dan pribadi. Pengelola Sertifikat mendapatkan sertifikat publik, yang sering kali mengamankan layanan publik, dari CA Publik. Browser, sistem operasi, dan aplikasi utama mengenali CA Publik sebagai root of trust. Pengelola Sertifikat mendapatkan sertifikat pribadi, yang sering kali mengamankan layanan pribadi, dari Layanan CA.
Sertifikat yang dikelola sendiri
Jika tidak dapat menggunakan sertifikat yang dikelola Google karena persyaratan bisnis, Anda dapat mengupload sertifikat yang diterbitkan oleh CA eksternal beserta kunci terkaitnya. Anda harus menerbitkan dan memperpanjang sertifikat mandiri ini secara manual.
Otorisasi domain
Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikatnya ingin Anda terbitkan oleh Google dengan salah satu cara berikut:
Otorisasi load balancer: men-deploy sertifikat langsung ke load balancer yang didukung tanpa membuat data DNS.
Otorisasi DNS: deploy sertifikat langsung ke load balancer yang didukung setelah membuat data DNS khusus untuk verifikasi kepemilikan domain.
Untuk mengetahui informasi selengkapnya, lihat Jenis otorisasi domain untuk sertifikat yang dikelola Google.
Anda tidak memerlukan otorisasi domain untuk sertifikat yang dikelola sendiri.
Peta sertifikat
Peta sertifikat mereferensikan satu atau beberapa entri peta sertifikat yang menetapkan sertifikat tertentu ke nama host tertentu. Entri peta sertifikat juga menentukan logika pemilihan yang diikuti load balancer saat membuat koneksi klien. Anda dapat mengaitkan peta sertifikat dengan beberapa proxy target untuk digunakan kembali di beberapa load balancer.
Jika klien meminta nama host yang ditentukan dalam peta sertifikat, load balancer akan menayangkan sertifikat yang dipetakan ke nama host tersebut. Jika tidak, load balancer akan menayangkan sertifikat utama, yang merupakan sertifikat pertama yang tercantum untuk proxy target. Untuk informasi selengkapnya, lihat Cara kerja Pengelola Sertifikat.
Untuk informasi selengkapnya tentang cara membuat dan mengelola peta sertifikat, lihat Mengelola peta sertifikat.
Entri peta sertifikat
Entri peta sertifikat adalah daftar sertifikat yang ditayangkan untuk nama domain tertentu. Anda dapat menentukan kumpulan sertifikat yang berbeda untuk domain yang sama. Misalnya, Anda dapat mengupload sertifikat ECDSA dan RSA, lalu memetakan keduanya ke nama domain yang sama.
Saat klien terhubung ke nama domain, load balancer akan menegosiasikan jenis sertifikat yang akan ditayangkan kepada klien selama handshake.
Anda dapat mengaitkan maksimal empat sertifikat dengan satu entri peta sertifikat.
Untuk informasi selengkapnya tentang cara membuat dan mengelola entri peta sertifikat, lihat Mengelola entri peta sertifikat.
Konfigurasi tepercaya
Konfigurasi kepercayaan adalah resource yang mewakili konfigurasi infrastruktur kunci publik (PKI) Anda di Pengelola Sertifikat untuk digunakan dalam skenario autentikasi TLS bersama. File ini mengenkapsulasi satu trust store, yang pada gilirannya mengenkapsulasi anchor kepercayaan dan, secara opsional, satu atau beberapa sertifikat perantara.
Untuk mempelajari autentikasi TLS bersama (mTLS) lebih lanjut, lihat Ringkasan TLS bersama dalam dokumentasi Cloud Load Balancing.
Untuk informasi selengkapnya tentang konfigurasi kepercayaan dan komponennya, lihat Mengelola konfigurasi kepercayaan.
Trust store
Trust store mewakili konfigurasi secret kepercayaan di Certificate Manager untuk digunakan dalam skenario autentikasi TLS bersama. Repositori kepercayaan mengenkapsulasi satu trust anchor dan, secara opsional, satu atau beberapa intermediate certificate.
Batasan berikut berlaku untuk resource konfigurasi kepercayaan:
- Resource konfigurasi kepercayaan dapat menyimpan satu trust store.
- Repositori kepercayaan dapat menyimpan hingga 200 trust anchor, dan hingga 100 sertifikat CA perantara.
Trust anchor
Anchor kepercayaan mewakili satu sertifikat root untuk digunakan dalam skenario autentikasi TLS bersama. Trust anchor dienkapsulasi dalam trust store.
Intermediate certificate
Sertifikat intermediate adalah sertifikat yang ditandatangani oleh sertifikat root atau sertifikat intermediate lainnya di trust store. Sertifikat antara digunakan untuk autentikasi TLS bersama.
Jika Anda memiliki sertifikat intermediate, satu atau beberapa sertifikat intermediate dapat dienkapsulasi dalam trust store, bergantung pada konfigurasi PKI Anda. Selain intermediate certificate yang ada, konfigurasi kepercayaan menyertakan semua intermediate certificate sebagai bagian dari evaluasi kepercayaan untuk semua permintaan koneksi.
Sertifikat yang memerlukan daftar yang disetujui
Untuk mengizinkan klien melakukan autentikasi dengan sertifikat yang ditandatangani sendiri,
telah habis masa berlakunya, atau tidak valid, tambahkan sertifikat ke
kolom allowlistedCertificates dari konfigurasi kepercayaan. Anda juga dapat menambahkan
sertifikat jika tidak memiliki akses ke root certificate dan intermediate certificate.
Anda tidak memerlukan trust store untuk menambahkan sertifikat ke daftar yang diizinkan.
Saat Anda menambahkan sertifikat ke daftar yang diizinkan, Pengelola Sertifikat akan menganggap sertifikat tersebut valid jika sertifikat memenuhi kondisi berikut:
- Sertifikat dapat diuraikan.
- Klien membuktikan kepemilikan kunci pribadi sertifikat.
- Batasan pada kolom Nama Alternatif Subjek (SAN) terpenuhi.
Konfigurasi penerbitan sertifikat
Konfigurasi penerbitan sertifikat adalah resource yang memungkinkan Pengelola Sertifikat menggunakan kumpulan CA dari instance Certificate Authority Service Anda sendiri untuk menerbitkan sertifikat yang dikelola Google. Konfigurasi penerbitan sertifikat memungkinkan Anda menentukan parameter untuk penerbitan dan masa berlaku sertifikat, serta algoritma kunci untuk sertifikat yang diterbitkan.
Untuk informasi selengkapnya tentang cara membuat dan mengelola konfigurasi penerbitan sertifikat, lihat Mengelola resource konfigurasi penerbitan sertifikat.