O Gerenciador de certificados simplifica a aquisição, a implantação e o gerenciamento de certificados de Transport Layer Security (TLS). O Gerenciador de certificados oferece suporte à implantação de certificados globais e regionais em Google Cloud balanceadores de carga, certificados regionais em Proxy da Web seguro e certificados globais na CDN de mídia.
Balanceadores de carga compatíveis
Os balanceadores de cargaGoogle Cloud que se referem a um proxy HTTPS de destino ou a um proxy
SSL de destino (TargetSslProxy) usam certificados TLS para criptografar as informações enviadas
pela rede.
Para usar o Gerenciador de certificados, seu balanceador de carga precisa ser compatível com o nível de serviço de rede correspondente. Para uma análise detalhada dos tipos de balanceadores de carga e do respectivo suporte ao nível de serviço de rede, consulte Resumo dos balanceadores de carga Google Cloud .
O Gerenciador de certificados oferece suporte aos seguintes recursos de balanceador de carga:
| Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativos | Proxies SSL de destino usados por balanceadores de carga de rede de proxy |
|---|---|
|
|
Para mais informações sobre as diferenças entre os tipos de proxy HTTPS e SSL de destino, consulte Proxy de destino.
Certificados TLS com suporte
O Gerenciador de certificados oferece suporte aos seguintes tipos de certificados TLS:
Certificados gerenciados pelo Google: certificados que Google Cloud são gerados e gerenciados pelo Google para você. Com o Gerenciador de certificados, você pode emitir e renovar automaticamente certificados gerenciados pelo Google. Se você quiser usar sua própria cadeia de confiança em vez de depender de autoridades de certificação públicas (ACs) para emitir certificados, configure o Gerenciador de certificados para usar um pool de AC do Certificate Authority Service como emissor de certificados.
Certificados autogerenciados: certificados que você recebe, provisiona e renova. Você faz upload dos certificados manualmente para o Gerenciador de certificados e os gerencia. É possível usar certificados emitidos por ACs de terceiros ou em que você confia ou seus próprios certificados autoassinados.
Para mais informações sobre os certificados aceitos, consulte Certificados.
Vantagens
O Gerenciador de certificados oferece os seguintes benefícios:
Automação
- Emitir, renovar e gerenciar automaticamente certificados gerenciados pelo Google.
- Provisione certificados gerenciados pelo Google com antecedência para permitir migrações sem tempo de inatividade para Google Cloud.
Segurança
- Armazene e implante milhões de certificados com segurança.
- Proteja suas configurações com certificados gerenciados pelo Google, eliminando a necessidade de gerenciar chaves privadas de certificados.
- Implemente a autenticação TLS mútua (mTLS) no balanceador de carga para aumentar a segurança. Para mais informações, consulte a Visão geral do TLS mutuo na documentação do Cloud Load Balancing.
Flexibilidade
- Verifique a propriedade de domínios usando métodos de autorização baseados em DNS ou balanceador de carga.
- Escolha entre certificados gerenciados pelo Google (processados automaticamente pelo Google) ou autogerenciados (recebidos e gerenciados de forma independente).
- Use o protocolo ACME para receber certificados publicamente confiáveis para endpoints que você gerencia da Autoridade certificadora pública. Para mais informações, consulte AC pública.
- Gerencie todos os certificados de maneira unificada usando o console do Google Cloud, a CLI do Google Cloud ou a API Certificate Manager.
- Controle a atribuição e a seleção de certificados com base em nomes de domínio. Isso permite gerenciar e fornecer um número maior de certificados do que com os certificados SSL do Compute Engine.
- Controle a atribuição e a seleção de certificados com base em nomes de host em um nível granular.
Limitações
O Gerenciador de certificados tem as seguintes limitações:
- O Gerenciador de certificados só oferece suporte à autoridade de certificação pública e à Let's Encrypt CA para emitir certificados gerenciados pelo Google e de confiança pública.
- O Gerenciador de certificados só oferece suporte ao Certificate Authority Service para emissão de certificados gerenciados pelo Google de confiança particular.
- O número de domínios permitidos no campo Nomes alternativos de assunto (SANs, na sigla em inglês) para certificados gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização de DNS e a um máximo de cinco ao usar a autorização do balanceador de carga.
- Os certificados gerenciados pelo Google têm limitações no comprimento dos nomes de domínio compatíveis. Para mais informações, consulte Limitações de comprimento de nome de domínio para certificados gerenciados pelo Google.
- Certificados com o escopo
ALL_REGIONSnão têm suporte para autorização do balanceador de carga.