Esta página oferece uma visão geral dos principais componentes e conceitos do Gerenciador de certificados.
Certificados
Um certificado representa um único certificado X.509 Transport Layer Security (TLS) (SSL) emitido para nomes de domínio específicos ou curingas de domínio.
O Gerenciador de certificados oferece suporte aos seguintes tipos de certificados:
- Certificados gerenciados pelo Google: certificados que Google Cloud são gerados e gerenciados pelo Google para você. Quando um novo certificado gerenciado pelo Google é emitido ou renovado, o Gerenciador de certificados usa uma chave privada recém-gerada para o certificado.
- Certificados autogerenciados: certificados que você recebe, provisiona e renova.
Certificados gerenciados pelo Google
Os certificados gerenciados pelo Google são certificados TLS que Google Cloud são recebidos e gerenciados para você. Com o Gerenciador de certificados, você pode criar, gerenciar e renovar automaticamente seus certificados gerenciados pelo Google. O Gerenciador de certificados também permite verificar a propriedade do domínio usando autorização baseada em balanceador de carga ou DNS.
O Gerenciador de certificados oferece suporte à autoridade certificadora pública (CA) e à Let's Encrypt CA. Por padrão, a AC pública emite certificados gerenciados pelo Google. Se não for possível receber um certificado da AC pública para um domínio específico, o Gerenciador de certificados vai usar a AC Let's Encrypt. Isso pode acontecer quando a AC pública se recusa a emitir um certificado para um domínio ou quando o registro de autorização de autoridade certificadora (CAA) proíbe explicitamente a AC pública de emitir certificados para esse domínio. Para mais informações sobre como restringir as ACs que podem emitir certificados para seus domínios, consulte Especificar as ACs que podem emitir seu certificado gerenciado pelo Google.
Alguns pontos importantes a serem considerados ao usar certificados gerenciados pelo Google com o Gerenciador de certificados:
- O Gerenciador de certificados é compatível com certificados RSA gerenciados pelo Google.
- Os certificados regionais gerenciados pelo Google só oferecem suporte à autorização baseada em DNS e recebem certificados da AC pública.
- Não é possível usar certificados gerenciados pelo Google como certificados de cliente para TLS mútuo.
Certificados públicos e privados
O Gerenciador de certificados pode gerenciar certificados públicos e privados. O gerenciador de certificados recebe certificados públicos, que muitas vezes protegem serviços públicos, de uma AC pública. Os principais navegadores, sistemas operacionais e aplicativos reconhecem a AC pública como uma raiz de confiança. O Certificate Manager recebe certificados privados, que geralmente protegem serviços particulares, do serviço de AC.
Certificados autogerenciados
Se você não puder usar certificados gerenciados pelo Google devido aos requisitos da sua empresa, faça upload de certificados emitidos por ACs externas com as chaves associadas. É necessário emitir e renovar esses certificados autogerenciados manualmente.
Autorizações de domínio
O Gerenciador de certificados permite provar a propriedade de domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
Autorização do balanceador de carga: implante o certificado diretamente em um balanceador de carga compatível sem criar um registro DNS.
Autorização de DNS: implante o certificado diretamente em um balanceador de carga compatível depois de criar registros DNS dedicados para verificação da propriedade do domínio.
Para mais informações, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.
Você não precisa de autorizações de domínio para certificados autogerenciados.
Mapas de certificados
Um mapa de certificado faz referência a uma ou mais entradas que atribuem certificados específicos a nomes de host específicos. As entradas do mapa de certificados também definem a lógica de seleção que o balanceador de carga segue ao estabelecer conexões do cliente. É possível associar um mapa de certificado a vários proxies de destino para reutilização em vários balanceadores de carga.
Se um cliente solicitar um nome de host especificado em um mapa de certificado, o balanceador de carga vai servir os certificados mapeados para esse nome de host. Caso contrário, o balanceador de carga vai servir o certificado principal, que é o primeiro certificado listado para um proxy de destino. Para mais informações, consulte Como funciona o Gerenciador de certificados.
Para mais informações sobre como criar e gerenciar mapas de certificado, consulte Gerenciar mapas de certificado.
Entradas do mapa de certificados
Uma entrada de mapa de certificado é uma lista de certificados que são exibidos para um nome de domínio específico. É possível definir diferentes conjuntos de certificados para o mesmo domínio. Por exemplo, é possível fazer upload de um certificado ECDSA e um certificado RSA e mapeá-los para o mesmo nome de domínio.
Quando um cliente se conecta a um nome de domínio, o balanceador de carga negocia o tipo de certificado a ser fornecido ao cliente durante o handshake.
É possível associar no máximo quatro certificados a uma única entrada de mapa de certificados.
Para mais informações sobre como criar e gerenciar entradas de mapa de certificados, consulte Gerenciar entradas de mapa de certificados.
Configurações de confiança
Uma configuração de confiança é um recurso que representa a configuração da infraestrutura de chave pública (ICP) no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Ela encapsula um único repositório de confiança, que, por sua vez, encapsula uma âncora de confiança e, opcionalmente, um ou mais certificados intermediários.
Para saber mais sobre a autenticação TLS mútua (mTLS), consulte Visão geral do TLS mútuo na documentação do Cloud Load Balancing.
Para mais informações sobre as configurações de confiança e os componentes delas, consulte Gerenciar configurações de confiança.
Repositórios de confiança
Um repositório de confiança representa a configuração de segredo de confiança no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Um repositório de confiança encapsula uma única âncora de confiança e, opcionalmente, um ou mais certificados intermediários.
As limitações a seguir se aplicam aos recursos de configuração de confiança:
- Um recurso de configuração de confiança pode conter um único repositório de confiança.
- Um repositório de confiança pode conter até 200 âncoras de confiança e até 100 certificados de AC intermediários.
Âncoras de confiança
Uma âncora de confiança representa um único certificado raiz para uso em cenários de autenticação TLS mútua. Uma âncora de confiança é encapsulada em um repositório de confiança.
Certificados intermediários
Um certificado intermediário é um certificado assinado por um certificado raiz ou outro certificado intermediário no repositório de confiança. Certificados intermediários são usados para autenticação TLS mútua.
Se você tiver certificados intermediários, um ou mais deles poderão ser encapsulados em um repositório de confiança, dependendo da configuração da ICP. Além dos certificados intermediários existentes, a configuração de confiança inclui todos os certificados intermediários como parte da avaliação de confiança para todas as solicitações de conexão.
Certificados que exigem uma lista de permissões
Para permitir que os clientes façam a autenticação com um certificado autoassinado,
expirado ou inválido, adicione o certificado ao
campo allowlistedCertificates da configuração de confiança. Também é possível adicionar o
certificado se você não tiver acesso aos certificados raiz e intermediários.
Não é necessário ter uma loja de certificados de confiança para adicionar um certificado a uma lista de permissões.
Quando você adiciona um certificado à lista de permissões, o Gerenciador de certificados considera o certificado válido se ele atender às seguintes condições:
- O certificado pode ser analisado.
- O cliente prova que tem a chave privada do certificado.
- As restrições no campo "Nome alternativo do assunto" (SAN, na sigla em inglês) são atendidas.
Configurações de emissão de certificados
Uma configuração de emissão de certificados é um recurso que permite que o Gerenciador de certificados use um pool de AC da sua própria instância do Certificate Authority Service para emitir certificados gerenciados pelo Google. Uma configuração de emissão de certificados permite especificar parâmetros para emissão e expiração de certificados, além do algoritmo de chaves para certificados emitidos.
Para mais informações sobre como criar e gerenciar configurações de emissão de certificados, consulte Gerenciar recursos de configuração de emissão de certificados.