Certificate Manager – Übersicht

Der Zertifikatmanager vereinfacht den Erwerb, die Bereitstellung und die Verwaltung von TLS-Zertifikaten (Transport Layer Security). Certificate Manager unterstützt die Bereitstellung globaler und regionaler Zertifikate auf Google Cloud Load Balancern, regionaler Zertifikate auf Secure Web Proxy-Proxys und globaler Zertifikate auf Media CDN.

Unterstützte Load-Balancer

Google Cloud Load Balancer, die auf einen HTTPS-Zielproxy oder einen SSL-Zielproxy (TargetSslProxy) verweisen, verwenden TLS-Zertifikate, um Informationen zu verschlüsseln, die über das Netzwerk gesendet werden.

Damit Sie Certificate Manager verwenden können, muss Ihr Load Balancer mit der entsprechenden Netzwerkdienststufe kompatibel sein. Eine umfassende Aufschlüsselung der Load Balancer-Typen und ihrer jeweiligen Unterstützung durch Netzwerkdienststufen finden Sie unter Zusammenfassung der Google Cloud Load Balancer.

Certificate Manager unterstützt die folgenden Load Balancer-Ressourcen:

Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden Ziel-SSL-Proxys, die von Proxy-Network-Load-Balancern verwendet werden
  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Regionaler externer Application Load Balancer
  • Regionaler interner Application Load Balancer
  • Regionsübergreifender interner Application Load Balancer
  • Globaler externer Proxy-Network Load Balancer
  • Klassischer Proxy-Network Load Balancer

Weitere Informationen zu den Unterschieden zwischen den Proxytypen „Ziel-HTTPS“ und „Ziel-SSL“ finden Sie unter Zielproxys.

Unterstützte TLS-Zertifikate

Certificate Manager unterstützt die folgenden Arten von TLS-Zertifikaten:

  • Von Google verwaltete Zertifikate: Zertifikate, die von Google Cloudabgerufen und verwaltet werden. Mit Certificate Manager können Sie von Google verwaltete Zertifikate automatisch ausstellen und verlängern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt öffentliche Zertifizierungsstellen (Certificate Authorities, CAs) für die Ausstellung Ihrer Zertifikate zu nutzen, können Sie Zertifikatmanager so konfigurieren, dass stattdessen ein CA-Pool aus dem Certificate Authority Service als Zertifikataussteller verwendet wird.

  • Selbstverwaltete Zertifikate: Zertifikate, die Sie selbst erwerben, bereitstellen und erneuern. Sie laden die Zertifikate manuell in den Zertifikatmanager hoch und verwalten sie dort. Sie können Zertifikate von Drittanbieter-Zertifizierungsstellen oder vertrauenswürdigen Zertifizierungsstellen oder Ihre eigenen selbst signierten Zertifikate verwenden.

Weitere Informationen zu den unterstützten Zertifikaten finden Sie unter Zertifikate.

Vorteile

Certificate Manager bietet folgende Vorteile:

Automatisierung

  • Von Google verwaltete Zertifikate automatisch ausstellen, verlängern und verwalten
  • Stellen Sie von Google verwaltete Zertifikate im Voraus bereit, um eine nahtlose Migration ohne Ausfallzeiten zu Google Cloudzu ermöglichen.

Sicherheit

  • Millionen von Zertifikaten sicher speichern und bereitstellen
  • Schützen Sie Ihre Konfigurationen mit von Google verwalteten Zertifikaten, sodass Sie keine privaten Zertifikatschlüssel verwalten müssen.
  • Implementieren Sie die gegenseitige TLS-Authentifizierung (mTLS) auf Ihrem Load Balancer, um die Sicherheit zu erhöhen. Weitere Informationen finden Sie in der Cloud Load Balancing-Dokumentation unter Mutual TLS – Übersicht.

Flexibilität

  • Bestätigen Sie die Inhaberschaft von Domains mithilfe von DNS-basierten oder Load Balancer-basierten Autorisierungsmethoden.
  • Sie können zwischen von Google verwalteten Zertifikaten (automatisch von Google verwaltet) und selbstverwalteten Zertifikaten (unabhängig abgerufen und verwaltet) wählen.
  • Verwenden Sie das ACME-Protokoll, um von der öffentlichen Zertifizierungsstelle öffentlich vertrauenswürdige Zertifikate für von Ihnen verwaltete Endpunkte abzurufen. Weitere Informationen finden Sie unter Öffentliche Zertifizierungsstelle.
  • Sie können alle Zertifikate über die Google Cloud Console, die Google Cloud CLI oder die Certificate Manager API einheitlich verwalten.
  • Zertifikatszuweisung und -auswahl basierend auf Domainnamen steuern So können Sie mehr Zertifikate verwalten und bereitstellen als mit Compute Engine-SSL-Zertifikaten.
  • Sie können die Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen auf detaillierter Ebene steuern.

Beschränkungen

Für Certificate Manager gelten die folgenden Einschränkungen:

  • Der Zertifikatmanager unterstützt nur die öffentliche Zertifizierungsstelle und die Let's Encrypt-Zertifizierungsstelle für die Ausstellung öffentlich vertrauenswürdiger von Google verwalteter Zertifikate.
  • Certificate Manager unterstützt den Certificate Authority Service nur für die Ausstellung von von Google verwalteten Zertifikaten, die privat vertrauenswürdig sind.
  • Die Anzahl der Domains, die im Feld „Subject Alternative Names“ (SANs) für von Google verwaltete Zertifikate zulässig sind, ist bei Verwendung der DNS-Autorisierung auf maximal 100 und bei Verwendung der Load Balancer-Autorisierung auf maximal fünf beschränkt.
  • Für von Google verwaltete Zertifikate gelten Einschränkungen bei der Länge der unterstützten Domainnamen. Weitere Informationen finden Sie unter Einschränkungen bei der Länge von Domainnamen für von Google verwaltete Zertifikate.
  • Zertifikate mit dem Umfang ALL_REGIONS unterstützen keine Load Balancer-Autorisierung.

Nächste Schritte