Nesta página, você encontra uma visão geral dos principais componentes e conceitos do Certificate Manager.
Certificados
Um certificado representa um único certificado X.509 Transport Layer Security (TLS) (SSL) emitido para nomes de domínio específicos ou curingas de domínio.
O Gerenciador de certificados é compatível com os seguintes tipos de certificados:
- Certificados gerenciados pelo Google: certificados que o Google Cloud consegue e gerencia para você. Quando um novo certificado gerenciado pelo Google é emitido ou renovado, o Gerenciador de certificados usa uma chave privada recém-gerada para o certificado.
- Certificados autogerenciados: certificados que você recebe, provisiona e renova.
Certificados gerenciados pelo Google
Os certificados gerenciados pelo Google são certificados TLS que o Google Cloud obtém e gerencia para você. Com o Gerenciador de certificados, é possível criar, gerenciar e renovar automaticamente seus certificados gerenciados pelo Google. O Gerenciador de certificados também permite verificar a propriedade do domínio usando a autorização baseada em balanceador de carga ou em DNS.
O Certificate Manager é compatível com a autoridade de certificação (CA) pública e a CA Let's Encrypt. Por padrão, o Public CA emite certificados gerenciados pelo Google. Se não for possível conseguir um certificado da Public CA para um domínio específico, o Certificate Manager vai usar a CA Let's Encrypt. Isso pode acontecer quando o Public CA se recusa a emitir um certificado para um domínio ou quando o registro de autorização da autoridade certificadora (CAA) proíbe explicitamente o Public CA de emitir certificados para esse domínio. Para mais informações sobre como restringir as CAs que podem emitir certificados para seus domínios, consulte Especificar as CAs que podem emitir seu certificado gerenciado pelo Google.
Alguns pontos importantes a serem considerados ao usar certificados gerenciados pelo Google com o Certificate Manager:
- O Gerenciador de certificados é compatível com certificados RSA gerenciados pelo Google.
- Os certificados regionais gerenciados pelo Google só aceitam autorização baseada em DNS e recebem certificados da CA pública.
- Não é possível usar certificados gerenciados pelo Google como certificados de cliente para TLS mútuo.
- A validade padrão dos certificados públicos gerenciados pelo Google é de 90 dias para todos os escopos, exceto
EDGE_CACHE, que tem validade de 30 dias. Não é possível mudar a validade dos certificados públicos gerenciados pelo Google.
Certificados públicos e particulares
O Gerenciador de certificados pode gerenciar certificados públicos e particulares. O Certificate Manager recebe certificados públicos, que geralmente protegem serviços públicos, da CA pública. Os principais navegadores, sistemas operacionais e aplicativos reconhecem o Public CA como uma raiz de confiança. O Certificate Manager recebe certificados particulares, que geralmente protegem serviços particulares, do CA Service.
Certificados autogerenciados
Se não for possível usar certificados gerenciados pelo Google devido aos requisitos da sua empresa, faça upload de certificados emitidos por CAs externas com as chaves associadas. É necessário emitir e renovar esses certificados autogerenciados manualmente.
Tipos de chave compatíveis
Os balanceadores de carga são compatíveis com certificados que usam chaves privadas de diferentes tipos. A tabela a seguir mostra o suporte ao tipo de chave, dependendo se os certificados são autogerenciados ou gerenciados pelo Google.|
Tipo de certificado SSL arrow_forward Tipo de chave arrow_downward |
Certificados SSL do gerenciador de certificados | ||
|---|---|---|---|
| Global e regional | |||
| Autogerenciado | Gerenciado pelo Google e confiável publicamente | Gerenciado pelo Google com confiança privada | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizações de domínio
Com o Gerenciador de certificados, você pode provar a propriedade dos domínios para os quais quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
Autorização do balanceador de carga: implante o certificado diretamente em um balanceador de carga compatível sem criar um registro DNS.
Autorização de DNS: implante o certificado diretamente em um balanceador de carga compatível depois de criar registros DNS dedicados para verificar a propriedade do domínio.
Para mais informações, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.
Não é necessário ter autorizações de domínio para certificados autogerenciados.
Mapas de certificados
Um mapa de certificado faz referência a uma ou mais entradas que atribuem certificados específicos a nomes de host específicos. As entradas do mapa de certificados também definem a lógica de seleção que o balanceador de carga segue ao estabelecer conexões de clientes. É possível associar um mapa de certificado a vários proxies de destino para reutilização em vários balanceadores de carga.
Se um cliente solicitar um nome de host especificado em um mapa de certificado, o balanceador de carga vai veicular os certificados mapeados para esse nome de host. Caso contrário, o balanceador de carga vai veicular o certificado principal, que é o primeiro certificado listado para um proxy de destino. Para mais informações, consulte Como o Gerenciador de certificados funciona.
Os seguintes balanceadores de carga são compatíveis com mapas de certificados:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de rede de proxy externo global
Para mais informações sobre como criar e gerenciar mapas de certificados, consulte Gerenciar mapas de certificados.
Entradas do mapa de certificados
Uma entrada de mapa de certificado é uma lista de certificados veiculados para um nome de domínio específico. É possível definir diferentes conjuntos de certificados para o mesmo domínio. Por exemplo, é possível fazer upload de um certificado ECDSA e um RSA e mapeá-los para o mesmo nome de domínio.
Quando um cliente se conecta a um nome de domínio, o balanceador de carga negocia o tipo de certificado a ser veiculado ao cliente durante o handshake.
É possível associar no máximo quatro certificados a uma única entrada de mapa de certificado.
Para mais informações sobre como criar e gerenciar entradas de mapa de certificados, consulte Gerenciar entradas de mapa de certificados.
Configurações de confiança
Uma configuração de confiança é um recurso que representa a configuração da infraestrutura de chave pública (ICP) no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Ela encapsula um único repositório de confiança, que, por sua vez, encapsula uma âncora de confiança e, opcionalmente, um ou mais certificados intermediários.
Para saber mais sobre a autenticação TLS mútua (mTLS), consulte a visão geral do TLS mútuo na documentação do Cloud Load Balancing.
Para mais informações sobre configurações de confiança e componentes, consulte Gerenciar configurações de confiança.
Repositórios de confiança
Um repositório de confiança representa a configuração de secret de confiança no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Um repositório de confiança encapsula uma única âncora de confiança e, opcionalmente, um ou mais certificados intermediários.
As seguintes limitações se aplicam aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode conter até 200 âncoras de confiança e até 100 certificados de CA intermediários.
Âncoras de confiança
Uma âncora de confiança representa um único certificado raiz para uso em cenários de autenticação TLS mútua. Uma âncora de confiança é encapsulada em um repositório de confiança.
Certificados intermediários
Um certificado intermediário é assinado por um certificado raiz ou outro certificado intermediário no repositório de confiança. Os certificados intermediários são usados para autenticação TLS mútua.
Se você tiver certificados intermediários, um ou mais deles poderão ser encapsulados em um repositório de confiança, dependendo da configuração da sua ICP. Além dos certificados intermediários atuais, a configuração de confiança inclui todos os certificados intermediários como parte da avaliação de confiança para todas as solicitações de conexão.
Certificados que exigem uma lista de permissões
Para permitir que os clientes se autentiquem com um certificado autoassinado,
expirado ou inválido, adicione o certificado ao campo
allowlistedCertificates da configuração de confiança. Também é possível adicionar o
certificado se você não tiver acesso aos certificados raiz e intermediários.
Não é necessário ter um repositório de confiança para adicionar um certificado a uma lista de permissões.
Quando você adiciona um certificado à lista de permissões, o gerenciador de certificados o considera válido se ele atender às seguintes condições:
- O certificado pode ser analisado.
- O cliente prova que tem a chave privada do certificado.
- As restrições no campo "Nome alternativo do assunto" (SAN, na sigla em inglês) são atendidas.
Configurações de emissão de certificados
Uma configuração de emissão de certificado é um recurso que permite ao Certificate Manager usar um pool de ACs da sua própria instância do Certificate Authority Service para emitir certificados gerenciados pelo Google. Com uma configuração de emissão de certificados, é possível especificar parâmetros para emissão e validade de certificados, além do algoritmo de chave para certificados emitidos.
Para mais informações sobre como criar e gerenciar configurações de emissão de certificados, consulte Gerenciar recursos de configuração de emissão de certificados.