Como funciona o Gestor de certificados

O Gestor de certificados usa um mecanismo de mapeamento flexível que lhe dá controlo detalhado sobre os certificados que pode atribuir e como os publicar para cada nome de domínio no seu ambiente.

O diagrama seguinte mostra as relações entre os componentes do Certificate Manager para um proxy de destino típico especificado numa regra de encaminhamento do equilibrador de carga:

Relação entre os componentes do Certificate Manager e o proxy de destino de um equilibrador de carga.
Entidades do Gestor de certificados (clique para aumentar).

Para saber mais acerca dos componentes do Gestor de certificados, consulte os componentes principais.

Lógica de seleção de certificados

A um nível elevado, o balanceador de carga seleciona um certificado da seguinte forma:

  1. Um cliente inicia um handshake, que é um pedido de ligação ao serviço por detrás do equilibrador de carga.

    Durante o handshake, o cliente fornece ao equilibrador de carga uma lista de algoritmos criptográficos que o cliente usa para concluir o handshake e, opcionalmente, o nome do anfitrião que está a tentar alcançar. Este nome de anfitrião também é denominado Indicação do nome do servidor (SNI).

  2. Ao receber o pedido, o equilibrador de carga seleciona um certificado para concluir a troca de informações segura.

    • Correspondência exata do nome de anfitrião: se o nome de anfitrião fornecido pelo cliente corresponder exatamente a uma entrada de nome de anfitrião no mapa de certificados aprovisionado, o balanceador de carga seleciona o certificado correspondente.

    • Correspondência de nome de anfitrião com carateres universais: se o nome de anfitrião do cliente não corresponder a nenhuma das entradas de nome de anfitrião no mapa de certificados aprovisionado, mas corresponder a um nome de anfitrião com carateres universais numa entrada do mapa de certificados, o balanceador de carga seleciona o certificado correspondente.

      Por exemplo, uma entrada com caráter universal configurada como *.myorg.example.com abrange subdomínios de primeiro nível no domínio myorg.example.com. A entrada de caráter universal não abrange subdomínios de nível mais profundo, como sub.subdomain.myorg.example.com.

    • Nenhuma correspondência exata ou de carateres universais do nome de anfitrião: se o nome de anfitrião do cliente não corresponder a nenhuma das entradas de nome de anfitrião no mapa de certificados aprovisionado, o equilibrador de carga seleciona a entrada do mapa de certificados principal.

    • Falha no handshake: se o cliente não tiver fornecido um nome do anfitrião e a entrada do mapa de certificados principal não estiver configurada, o handshake falha.

Prioridade do certificado

Quando seleciona um certificado, o equilibrador de carga dá-lhes prioridade com base nos seguintes fatores:

  • Tipo de certificado. Se o cliente suportar os certificados ECDSA, o balanceador de carga dá-lhes prioridade em relação aos certificados RSA. Se o cliente não suportar certificados ECDSA, o equilibrador de carga publica um certificado RSA.
  • Tamanho do certificado. Como os certificados mais pequenos consomem menos largura de banda, o balanceador de carga dá prioridade aos certificados mais pequenos em detrimento dos maiores.

Nomes de domínio com carateres universais

Aplicam-se as seguintes regras a nomes de domínios com carateres universais:

  • Apenas os certificados geridos pela Google com autorização DNS e os certificados geridos pela Google com suporte do serviço de AC são compatíveis com nomes de domínios com carateres universais. Os certificados geridos pela Google com autorização do equilibrador de carga não suportam nomes de domínio com carateres universais.
  • Uma correspondência exata tem precedência sobre um caráter universal quando ambos estão definidos na entrada. Por exemplo, se configurou entradas de mapeamento de certificados para www.myorg.example.com e *.myorg.example.com, um pedido de ligação contra www.myorg.example.com seleciona sempre a entrada para www.myorg.example.com, mesmo que também exista uma entrada para *.myorg.example.com.
  • Os nomes de domínios com carateres universais só correspondem ao primeiro nível de subdomínios. Por exemplo, um pedido de ligação para host1.myorg.example.com seleciona uma entrada de mapeamento de certificados para *.myorg.example.com, mas não para host1.hosts.myorg.example.com.

Renovação do certificado

Os certificados geridos pela Google são renovados automaticamente. Tem de renovar manualmente os certificados autogeridos. Se necessário, pode configurar alertas do Cloud Logging para certificados antes da respetiva expiração. Para mais informações, consulte o artigo Configure alertas de registo.

O que se segue?