El Administrador de certificados simplifica la adquisición, la implementación y la administración de los certificados de seguridad de la capa de transporte (TLS). El Administrador de certificados admite la implementación de certificados globales y regionales en Google Cloud balanceadores de cargas, certificados regionales en proxies de Secure Web Proxy y certificados globales en CDN de Media.
Balanceadores de cargas compatibles
Los balanceadores de cargasGoogle Cloud que hacen referencia a un proxy HTTPS o un proxy SSL de destino (TargetSslProxy) usan certificados TLS para encriptar la información que se envía a través de la red.
Para usar el Administrador de certificados, el balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y su respectiva compatibilidad con los niveles de servicio de red, consulta Resumen de los Google Cloud balanceadores de cargas.
El Administrador de certificados admite los siguientes recursos de balanceador de cargas:
| Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones | Proxies SSL de destino que usan los balanceadores de cargas de red del proxy |
|---|---|
|
|
Para obtener más información sobre las diferencias entre los tipos de proxy HTTPS y SSL de destino, consulta Proxy de destino.
Certificados TLS admitidos
El Administrador de certificados admite los siguientes tipos de certificados TLS:
Certificados administrados por Google: Son certificados que Google Cloudobtiene y administra por ti. Con el Administrador de certificados, puedes emitir y renovar automáticamente los certificados administrados por Google. Si deseas usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (AC) públicas para emitir tus certificados, puedes configurar Certificate Manager para que use un grupo de AC del Certificate Authority Service como emisor de certificados.
Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo. Subes los certificados de forma manual al Administrador de certificados y los administras. Puedes usar certificados emitidos por AC de terceros o AC de confianza, o tus propios certificados autofirmados.
Para obtener más información sobre los certificados compatibles, consulta Certificados.
Beneficios
El Administrador de certificados ofrece los siguientes beneficios:
Automatización
- Emite, renueva y administra automáticamente los certificados administrados por Google.
- Aprovisiona los certificados administrados por Google con anticipación para permitir migraciones sin interrupciones a Google Cloud.
Seguridad
- Almacena y, luego, implementa millones de certificados de forma segura.
- Protege tus configuraciones con certificados administrados por Google, lo que elimina la necesidad de administrar claves privadas de certificados.
- Implementa la autenticación de TLS mutua (mTLS) en tu balanceador de cargas para mejorar la seguridad. Para obtener más información, consulta la descripción general de TLS mutua en la documentación de Cloud Load Balancing.
Flexibilidad
- Verifica la propiedad de los dominios con métodos de autorización basados en DNS o en balanceadores de cargas.
- Elige entre certificados administrados por Google (que Google controla automáticamente) o certificados autoadministrados (que se obtienen y administran de forma independiente).
- Usa el protocolo ACME para obtener certificados de confianza pública para los extremos que administras desde la autoridad certificadora pública. Para obtener más información, consulta AC pública.
- Administra todos los certificados de forma unificada con la consola de Google Cloud, Google Cloud CLI o la API de Certificate Manager.
- Controla la asignación y selección de certificados según los nombres de dominio. Esto te permite administrar y entregar una mayor cantidad de certificados que con los certificados SSL de Compute Engine.
- Controla la asignación y selección de certificados según los nombres de host a nivel detallado.
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
- El Administrador de certificados solo admite la autoridad certificadora pública y la AC de Let's Encrypt para emitir certificados administrados por Google de confianza pública.
- El Administrador de certificados solo admite Certificate Authority Service para emitir certificados administrados por Google de confianza privada.
- La cantidad de dominios permitidos en el campo de nombres alternativos de asunto (SAN) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
- Los certificados administrados por Google tienen limitaciones en la longitud de los nombres de dominio compatibles. Para obtener más información, consulta Limitaciones de longitud de nombres de dominio para certificados administrados por Google.
- Los certificados con el alcance
ALL_REGIONSno admiten la autorización del balanceador de cargas.
¿Qué sigue?
- Componentes principales del Administrador de certificados
- Cómo funciona el Administrador de certificados