Questa pagina fornisce una panoramica dei componenti e dei concetti principali di Certificate Manager.
Certificati
Un certificato rappresenta un singolo certificato (SSL) X.509 Transport Layer Security (TLS) emesso per nomi o caratteri jolly di dominio specifici.
Certificate Manager supporta i seguenti tipi di certificati:
- Certificati gestiti da Google: certificati che Google Cloud ottiene e gestisce per te. Quando viene emesso o rinnovato un nuovo certificato gestito da Google, Certificate Manager utilizza una chiave privata appena generata per il certificato.
- Certificati autogestiti: certificati che ottieni, fornisci e rinnovi personalmente.
Certificati gestiti da Google
I certificati gestiti da Google sono certificati TLS che Google Cloud ottiene e gestisce per te. Gestore certificati ti consente di creare, gestire e rinnovare automaticamente i certificati gestiti da Google. Certificate Manager ti consente anche di verificare la proprietà del dominio utilizzando l'autorizzazione basata sul bilanciatore del carico o quella basata su DNS.
Certificate Manager supporta l'autorità di certificazione (CA) pubblica e l'autorità di certificazione Let's Encrypt. Per impostazione predefinita, la Public CA emette certificati gestiti da Google. Se non riesci a ottenere un certificato dall'Public CA per un determinato dominio, Certificate Manager esegue il failover sull'autorità di certificazione Let's Encrypt. Ciò può accadere quando l'Public CA si rifiuta di rilasciare un certificato per un dominio o quando il record CAA (Certification Authority Authorization) vieta esplicitamente all'Public CA di rilasciare certificati per quel dominio. Per saperne di più su come limitare le CA che potrebbero emettere certificati per i tuoi domini, vedi Specificare le CA che possono emettere il certificato gestito da Google.
Alcuni punti importanti da tenere a mente quando utilizzi i certificati gestiti da Google con Certificate Manager:
- Gestore certificati supporta i certificati gestiti da Google RSA.
- I certificati gestiti a livello di regione da Google supportano solo l'autorizzazione basata su DNS e ottengono certificati dalla CA pubblica.
- L'utilizzo di certificati gestiti da Google come certificati client per TLS reciproco non è supportato.
- La validità predefinita dei certificati pubblici gestiti da Google è di 90 giorni per
tutti gli ambiti, ad eccezione di
EDGE_CACHE, che ha una validità di 30 giorni. La modifica della validità dei certificati gestiti da Google pubblici non è supportata.
Certificati pubblici e privati
Certificate Manager può gestire certificati sia pubblici che privati. Certificate Manager riceve certificati pubblici, che spesso proteggono i servizi pubblici, dalla CA pubblica. I principali browser, sistemi operativi e applicazioni riconoscono la Public CA come radice di attendibilità. Certificate Manager riceve certificati privati, che spesso proteggono servizi privati, dal servizio CA.
Certificati autogestiti
Se non puoi utilizzare i certificati gestiti da Google a causa dei requisiti della tua attività, puoi caricare i certificati emessi da CA esterne insieme alle chiavi associate. Devi emettere e rinnovare manualmente questi certificati autogestiti.
Tipi di chiavi supportati
I bilanciatori del carico supportano certificati che utilizzano chiavi private di diversi tipi. La seguente tabella mostra il supporto dei tipi di chiavi a seconda che i certificati siano autogestiti o gestiti da Google.|
Tipo di certificato SSL arrow_forward Tipo di chiave arrow_downward |
Certificati SSL di Certificate Manager | ||
|---|---|---|---|
| Globale e regionale | |||
| Autogestito | Gestito da Google e attendibile pubblicamente | Gestito da Google con attendibilità privata | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizzazioni dei domini
Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
Autorizzazione del bilanciatore del carico: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato senza creare un record DNS.
Autorizzazione DNS: esegui il deployment del certificato direttamente su un bilanciamento del carico supportato dopo aver creato record DNS dedicati per la verifica della proprietà del dominio.
Per ulteriori informazioni, vedi Tipi di autorizzazione del dominio per i certificati gestiti da Google.
Non sono necessarie autorizzazioni del dominio per i certificati autogestiti.
Mappe di certificati
Una mappa di certificati fa riferimento a una o più voci al suo interno che assegnano certificati specifici e nomi host specifici. Le voci della mappa dei certificati definiscono anche la logica di selezione che il bilanciatore del carico segue quando stabilisce le connessioni client. Puoi associare una mappa dei certificati a più proxy di destinazione per il riutilizzo in più bilanciatori del carico.
Se un client richiede un nome host specificato in una mappa di certificati, il bilanciatore del carico pubblica i certificati mappati a quel nome host. In caso contrario, il bilanciamento del carico gestisce il certificato principale, ovvero il primo certificato elencato per un proxy di destinazione. Per saperne di più, consulta Come funziona Certificate Manager.
I seguenti bilanciatori del carico supportano le mappe dei certificati:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico di rete proxy esterno globale
Per ulteriori informazioni sulla creazione e la gestione delle mappe dei certificati, vedi Gestire le mappe dei certificati.
Voci mappe di certificati
Una voce mappa di certificati è un elenco di certificati pubblicati per un nome di dominio specifico. Puoi definire diversi set di certificati per lo stesso dominio. Ad esempio, puoi caricare un certificato ECDSA e uno RSA e mapparli allo stesso nome di dominio.
Quando un client si connette a un nome di dominio, il bilanciatore del carico negozia il tipo di certificato da inviare al client durante l'handshake.
Puoi associare un massimo di quattro certificati a una singola voce della mappa dei certificati.
Per ulteriori informazioni sulla creazione e la gestione delle voci delle mappe dei certificati, vedi Gestione delle voci delle mappe dei certificati.
Configurazioni di attendibilità
Una configurazione di attendibilità è una risorsa che rappresenta la configurazione dell'infrastruttura a chiave pubblica (PKI) in Gestore certificati da utilizzare in scenari di autenticazione TLS reciproca (mTLS). Incapsula un singolo archivio di attendibilità, che a sua volta incapsula un trust anchor e, facoltativamente, uno o più certificati intermedi.
Per saperne di più sull'autenticazione TLS reciproca (mTLS), consulta la panoramica di TLS reciproca nella documentazione di Cloud Load Balancing.
Per ulteriori informazioni sulle configurazioni di attendibilità e sui relativi componenti, vedi Gestire le configurazioni di attendibilità.
Archivi di attendibilità
Un archivio di attendibilità rappresenta la configurazione del segreto di attendibilità in Gestore certificati da utilizzare in scenariautenticazione TLS reciproca (mTLS)a (mTLS). Un archivio di attendibilità incapsula un singolo trust anchor e, facoltativamente, uno o più certificati intermedi.
Alle risorse di configurazione dell'attendibilità si applicano le seguenti limitazioni:
- Una risorsa di configurazione dell'attendibilità può contenere un singolo archivio attendibilità.
- Un archivio di attendibilità può contenere fino a 200 trust anchor e fino a 100 certificati CA intermedi.
Trust anchor
Un trust anchor rappresenta un singolo certificato radice da utilizzare in scenari di autenticazione TLS reciproca. Un trust anchor è incapsulato all'interno di un archivio di attendibilità.
Certificati intermedi
Un certificato intermedio è un certificato firmato da un certificato radice o da un altro certificato intermedio nell'archivio di attendibilità. I certificati intermedi vengono utilizzati per l'autenticazione TLS reciproca (mTLS).
Se disponi di certificati intermedi, uno o più certificati intermedi possono essere incapsulati in un archivio di attendibilità, a seconda della configurazione PKI. Oltre ai certificati intermedi esistenti, la configurazione dell'attendibilità include tutti i certificati intermedi come parte della valutazione dell'attendibilità per tutte le richieste di connessione.
Certificati che richiedono una lista consentita
Per consentire ai client di autenticarsi con un certificato autofirmato,
scaduto o non valido, aggiungi il certificato al
campo allowlistedCertificates della configurazione di attendibilità. Puoi anche aggiungere il
certificato se non hai accesso ai certificati radice e intermedi.
Non è necessario un archivio attendibile per aggiungere un certificato a una lista consentita.
Quando aggiungi un certificato alla lista consentita, Certificate Manager lo considera valido se soddisfa le seguenti condizioni:
- Il certificato è analizzabile.
- Il client dimostra di possedere la chiave privata del certificato.
- I vincoli del campo Nome alternativo del soggetto (SAN) sono soddisfatti.
Configurazioni di emissione dei certificati
Una configurazione di emissione dei certificati è una risorsa che consente a Certificate Manager di utilizzare un pool di CA della tua istanza di Certificate Authority Service per emettere certificati gestiti da Google. Una configurazione di emissione dei certificati ti consente di specificare i parametri per l'emissione e la scadenza dei certificati, nonché l'algoritmo della chiave per i certificati emessi.
Per ulteriori informazioni sulla creazione e la gestione delle configurazioni di emissione dei certificati, consulta Gestire le risorse di configurazione dell'emissione dei certificati.