Componenti principali di Gestore certificati

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina fornisce una panoramica dei componenti e dei concetti fondamentali di Certificate Manager.

Certificati

Un certificato rappresenta un singolo certificato (SSL) X.509 Transport Layer Security (TLS) emesso per nomi o caratteri jolly di dominio specifici.

Certificate Manager supporta i seguenti tipi di certificati:

• Certificati gestiti da Google: certificati che Google Cloud vengono ottenuti e gestiti per te. Quando viene emesso o rinnovato un nuovo certificato gestito da Google, Certificate Manager utilizza una chiave privata appena generata per il certificato.
• Certificati con gestione indipendente: certificati che ottieni, provisioni e rinnova autonomamente.

Certificati gestiti da Google

I certificati gestiti da Google sono certificati TLS che Google Cloud vengono ottenuti e gestiti per te. Gestore certificati ti consente di creare, gestire e rinnovare automaticamente i certificati gestiti da Google. Certificate Manager ti consente anche di verificare la proprietà del dominio utilizzando l'autorizzazione basata su bilanciatore del carico o l'autorizzazione basata su DNS.

Certificate Manager supporta le autorità di certificazione (CA) pubbliche e Let's Encrypt. Per impostazione predefinita, la CA pubblica emette certificati gestiti da Google. Se non riesci a ottenere un certificato dall'autorità di certificazione pubblica per un determinato dominio, Certificate Manager ricorre all'autorità di certificazione Let's Encrypt. Ciò può accadere quando l'autorità di certificazione pubblica si rifiuta di rilasciare un certificato per un dominio o quando il tuo record CAA (Certification Authority Authorization) vieta esplicitamente all'autorità di certificazione pubblica di rilasciare certificati per quel dominio. Per ulteriori informazioni su come limitare le CA che potrebbero emettere certificati per i tuoi domini, vedi Specificare le CA che possono emettere il tuo certificato gestito da Google.

Alcuni punti importanti da tenere presente quando utilizzi i certificati gestiti da Google con Certificate Manager:

• Gestore certificati supporta i certificati RSA gestiti da Google.
• I certificati gestiti da Google a livello di regione supportano solo l'autorizzazione basata su DNS e ottengono i certificati dall'autorità di certificazione pubblica.
• L'utilizzo di certificati gestiti da Google come certificati client per TLS mutuale non è supportato.

Certificati pubblici e privati

Certificate Manager può gestire sia i certificati pubblici che quelli privati. Certificate Manager riceve i certificati pubblici, che spesso proteggono i servizi pubblici, dall'autorità di certificazione pubblica. I principali browser, sistemi operativi e applicazioni riconoscono la CA pubblica come una radice di attendibilità. Certificate Manager riceve i certificati privati, che spesso proteggono i servizi privati, dal servizio CA.

Certificati autogestiti

Se non puoi utilizzare i certificati gestiti da Google a causa dei requisiti della tua attività, puoi caricare i certificati emessi da CA esterne insieme alle relative chiavi associate. Devi emettere e rinnovare manualmente questi certificati autogestiti.

Autorizzazioni di dominio

Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:

• Autorizzazione del bilanciatore del carico: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato senza creare un record DNS.

• Autorizzazione DNS: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato dopo aver creato record DNS dedicati per la verifica della proprietà del dominio.

Per ulteriori informazioni, vedi Tipi di autorizzazione del dominio per i certificati gestiti da Google.

Non sono necessarie autorizzazioni di dominio per i certificati gestiti autonomamente.

Mappe di certificati

Una mappa di certificati fa riferimento a una o più voci al suo interno che assegnano certificati specifici a nomi host specifici. Le voci della mappa dei certificati definiscono anche la logica di selezione seguita dal bilanciatore del carico durante l'instaurazione delle connessioni dei client. Puoi associare una mappa dei certificati a più proxy di destinazione per il riutilizzo su più bilanciatori del carico.

Se un client richiede un nome host specificato in una mappa di certificati, il bilanciatore del carico pubblica i certificati mappati a quel nome host. In caso contrario, il bilanciatore del carico serve il certificato principale, ovvero il primo certificato elencato per un proxy di destinazione. Per ulteriori informazioni, vedi Come funziona Certificate Manager.

Per ulteriori informazioni sulla creazione e sulla gestione delle mappe di certificati, consulta Gestire le mappe di certificati.

Voci mappe di certificati

Una voce mappa di certificati è un elenco di certificati pubblicati per un nome di dominio specifico. Puoi definire insiemi diversi di certificati per lo stesso dominio. Ad esempio, puoi caricare un certificato ECDSA e un certificato RSA e mapparli allo stesso nome di dominio.

Quando un client si connette a un nome di dominio, il bilanciatore del carico negozia il tipo di certificato da fornire al client durante l'handshake.

Puoi associare un massimo di quattro certificati a una singola voce della mappa dei certificati.

Per ulteriori informazioni sulla creazione e sulla gestione delle voci delle mappe dei certificati, consulta Gestire le voci delle mappe dei certificati.

Configurazioni di attendibilità

Una configurazione di attendibilità è una risorsa che rappresenta la configurazione dell'infrastruttura a chiave pubblica (PKI) nel Gestore certificati da utilizzare in scenari di autenticazione TLS reciproca (mTLS). Incapsula un singolo archivio attendibilità, che a sua volta incapsula un trust anchor e, facoltativamente, uno o più certificati intermedi.

Per scoprire di più sull'autenticazione TLS reciproca (mTLS), consulta la panoramica di TLS reciproca nella documentazione di Cloud Load Balancing.

Per ulteriori informazioni sulle configurazioni di attendibilità e sui relativi componenti, consulta Gestire le configurazioni di attendibilità.

Archivi di attendibilità

Un archivio di attendibilità rappresenta la configurazione del segreto attendibilità in Gestore certificati da utilizzare negli scenari di autenticazione TLS reciproca. Un archivio attendibilità incapsula un singolo trust anchor e, facoltativamente, uno o più certificati intermedi.

Alle risorse di configurazione della attendibilità si applicano le seguenti limitazioni:

• Una risorsa di configurazione della attendibilità può contenere un singolo magazzino attendibilità.
• Un archivio attendibilità può contenere fino a 200 trust anchor e fino a 100 certificati CA intermedi.

Trust anchor

Un'ancora di attendibilità rappresenta un singolo certificato radice da utilizzare negli scenari di autenticazione TLS reciproca. Un trust anchor è incapsulato in un archivio di attendibilità.

Certificati intermedi

Un certificato intermedio è un certificato firmato da un certificato radice o da un altro certificato intermedio nell'archivio attendibilità. I certificati intermediari vengono utilizzati per l'autenticazione TLS reciproca.

Se disponi di certificati intermedi, uno o più di questi possono essere incapsulati in un archivio attendibilità, a seconda della configurazione della PKI. Oltre ai certificati intermedi esistenti, la configurazione della attendibilità include tutti i certificati intermedi nell'ambito della valutazione dell'attendibilità per tutte le richieste di connessione.

Certificati che richiedono una lista consentita

Per consentire ai client di autenticarsi con un certificato autofirmato, scaduto o non valido, aggiungi il certificato al campo allowlistedCertificates della configurazione della attendibilità. Puoi anche aggiungere il certificato se non hai accesso ai certificati radice e intermedi. Non è necessario un magazzino attendibile per aggiungere un certificato a una lista consentita.

Quando aggiungi un certificato alla lista consentita, Certificate Manager lo considera valido se soddisfa le seguenti condizioni:

• Il certificato è analizzabile.
• Il cliente dimostra di essere in possesso della chiave privata del certificato.
• I vincoli relativi al campo Subject Alternative Name (SAN) sono soddisfatti.

Configurazioni di emissione dei certificati

Una configurazione di emissione dei certificati è una risorsa che consente a Gestore certificati di utilizzare un pool di CA dalla tua istanza Certificate Authority Service per emettere certificati gestiti da Google. Una configurazione di emissione dei certificati consente di specificare i parametri per l'emissione e la scadenza dei certificati, nonché l'algoritmo della chiave per i certificati emessi.

Per ulteriori informazioni sulla creazione e sulla gestione delle configurazioni di emissione dei certificati, consulta Gestire le risorse di configurazione di emissione dei certificati.

Passaggi successivi

• Come funziona Certificate Manager