בדף הזה מובאת סקירה כללית של הרכיבים והמושגים העיקריים של Certificate Manager.
אישורים
אישור מייצג אישור יחיד של X.509 Transport Layer Security (TLS) (SSL) שמונפק לשמות דומיינים ספציפיים או לתווים כלליים של דומיינים.
Certificate Manager תומך בסוגי האישורים הבאים:
- אישורים שמנוהלים על ידי Google: אישורים ש- Google Cloud מקבלת ומנהלת בשבילכם. כשמונפק או מתחדש אישור חדש בניהול Google, Certificate Manager משתמש במפתח פרטי שנוצר לאחרונה עבור האישור.
- אישורים בניהול עצמי: אישורים שאתם מקבלים, מספקים ומחדשים בעצמכם.
אישורים שמנוהלים על ידי Google
אישורים שמנוהלים על ידי Google הם אישורי TLS ש-Google משיגה ומנהלת בשבילכם. Google Cloud בעזרת Certificate Manager אפשר ליצור, לנהל ולחדש באופן אוטומטי את האישורים שמנוהלים על ידי Google. ב-Certificate Manager אפשר גם לאמת את הבעלות על הדומיין באמצעות הרשאה מבוססת איזון עומסים או הרשאה מבוססת DNS.
Certificate Manager תומך ב-Public Certificate Authority (CA) וב-Let's Encrypt CA. כברירת מחדל, רשות האישורים הציבורית מנפיקה אישורים שמנוהלים על ידי Google. אם לא ניתן לקבל אישור מרשות אישורים ציבורית לדומיין מסוים, כלי ניהול האישורים יחזור לרשות האישורים Let's Encrypt. זה יכול לקרות במצבים שבהם רשות אישורים ציבורית מסרבת להנפיק אישור לדומיין, או שרשומת ההרשאה ברשות האישורים (CAA) אוסרת באופן מפורש על רשות האישורים הציבורית להנפיק אישורים לדומיין הזה. מידע נוסף על הגבלת רשויות האישורים (CA) שיכולות להנפיק אישורים לדומיינים שלכם זמין במאמר ציון רשויות האישורים שיכולות להנפיק את האישור שמנוהל על ידי Google.
יש כמה נקודות חשובות שכדאי לזכור כשמשתמשים באישור שמופק על ידי Google באמצעות Certificate Manager:
- Certificate Manager תומך באישורים מסוג RSA שמנוהלים על ידי Google.
- אישורים אזוריים שמנוהלים על ידי Google תומכים רק בהרשאה מבוססת-DNS ומקבלים אישורים מרשות אישורים ציבורית.
- אין תמיכה בשימוש באישורים בניהול Google כאישורי לקוח ל-TLS דו-צדדי.
- תוקף ברירת המחדל של אישורים ציבוריים שמנוהלים על ידי Google הוא 90 ימים לכל ההיקפים, למעט
EDGE_CACHE, שתוקף ברירת המחדל שלו הוא 30 ימים. אין תמיכה בשינוי התוקף של אישורים ציבוריים שמנוהלים על ידי Google.
אישורים ציבוריים ופרטיים
Certificate Manager יכול לנהל אישורים ציבוריים ופרטיים. מנהל האישורים מקבל אישורים ציבוריים, שלרוב מאבטחים שירותים ציבוריים, מ-CA ציבורי. דפדפנים, מערכות הפעלה ואפליקציות מרכזיים מזהים את ה-CA הציבורי כ-Root of Trust. Certificate Manager מקבל אישורים פרטיים, שלרוב מאבטחים שירותים פרטיים, משירות CA.
אישורים בניהול עצמי
אם אתם לא יכולים להשתמש באישורים שמנוהלים על ידי Google בגלל הדרישות העסקיות שלכם, אתם יכולים להעלות אישורים שהונפקו על ידי רשויות אישורים חיצוניות, יחד עם המפתחות המשויכים שלהם. צריך להנפיק ולחדש את האישורים האלה שמנוהלים באופן עצמאי באופן ידני.
המשאב Certificate של אישור בניהול עצמי חייב לכלול את האישור ואת השרשרת שלו. שרשרת האישורים מכילה אישורי ביניים, שעוזרים לבסס מהימנות לאישור הבסיס. אפשר להוסיף את שרשרת האישורים כקובץ יחיד בקידוד PEM או כבלוק טקסט.
חשוב לציין את שרשרת האישורים בסדר הבא:
- אישור קצה
- כל אישורי הביניים
סוגי מפתחות נתמכים
מאזני עומסים תומכים באישורים שמשתמשים במפתחות פרטיים מסוגי מפתחות שונים. בטבלה הבאה מוצגת התמיכה בסוגי מפתחות, בהתאם לאישורים בניהול עצמי או בניהול Google.|
סוג אישור SSL arrow_forward סוג המפתח arrow_downward |
אישורי SSL ב-Certificate Manager | ||
|---|---|---|---|
| גלובלי ואזורי | |||
| נהלו את הכל בעצמכם | מנוהל על ידי Google ומהימן לציבור | פרטי, מהימן, בניהול Google | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
הרשאות דומיין
Certificate Manager מאפשר לכם להוכיח בעלות על דומיינים שרוצים להנפיק להם אישורים מנוהלים של Google באחת מהדרכים הבאות:
הרשאה של מאזן עומסים: פריסת האישור ישירות למאזן עומסים נתמך בלי ליצור רשומת DNS.
הרשאה ל-DNS: פריסת האישור ישירות למאזן עומסים נתמך אחרי יצירת רשומות DNS ייעודיות לאימות הבעלות על הדומיין.
מידע נוסף זמין במאמר בנושא סוגי הרשאות לדומיין עבור אישורים שמנוהלים על ידי Google.
לא צריך הרשאות דומיין לאישורים בניהול עצמי.
מפות אישורים
מיפוי האישורים מפנה לרשומה אחת או יותר של מיפוי אישורים שמקצה אישורים ספציפיים לשמות מארחים ספציפיים. רשומות במפת האישורים מגדירות גם את לוגיקת הבחירה שמאזן העומסים פועל לפיה כשנוצרים חיבורים ללקוח. אפשר לשייך מיפוי אישורים לכמה שרתי proxy של יעד כדי לעשות בו שימוש חוזר בכמה מאזני עומסים.
אם לקוח מבקש שם מארח שצוין במיפוי אישורים, מאזן העומסים מציג את האישורים שממופים לשם המארח הזה. אחרת, מאזן העומסים מציג את האישור הראשי, שהוא האישור הראשון שמופיע ברשימה של שרת proxy יעד. מידע נוסף זמין במאמר איך פועל Certificate Manager.
מאזני העומסים הבאים תומכים במיפוי אישורים:
- מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
- מאזן עומסי רשת גלובלי חיצוני בשרת proxy
מידע נוסף על יצירה וניהול של מיפויי אישורים זמין במאמר בנושא ניהול מיפויי אישורים.
רשומות מיפוי לאישורים
רשומת מיפוי לאישורים היא רשימה של אישורים שמוצגים עבור שם דומיין ספציפי. אפשר להגדיר קבוצות שונות של אישורים לאותו דומיין. לדוגמה, אתם יכולים להעלות אישור ECDSA ואישור RSA ולמפות אותם לאותו שם דומיין.
כשלקוח מתחבר לשם דומיין, מאזן העומסים מנהל משא ומתן על סוג האישור שיוצג ללקוח במהלך לחיצת היד.
אפשר לשייך עד ארבעה אישורים לכל רשומה במפת אישורים.
מידע נוסף על יצירה וניהול של רשומות במפת אישורים זמין במאמר ניהול רשומות במפת אישורים.
הגדרות אמון
הגדרת אמון היא משאב שמייצג את תצורת ה-PKI (תשתית מפתחות ציבוריים) שלכם ב-Certificate Manager, לשימוש בתרחישי אימות הדדי של TLS. הוא מכיל מאגר אישורים יחיד, שבתורו מכיל עוגן מהימן, ואופציונלית, אישור ביניים אחד או יותר.
מידע נוסף על אימות TLS בו-זמני (mTLS) זמין במאמר סקירה כללית על TLS בו-זמני במסמכי Cloud Load Balancing.
מידע נוסף על הגדרות אמון ועל הרכיבים שלהן זמין במאמר ניהול הגדרות אמון.
מאגרי אישורים
מאגר אישורים מייצג את הגדרת סודות האמון ב-Certificate Manager לשימוש בתרחישי אימות TLS בו-זמני (mTLS). מאגר אישורים מכיל עוגן מהימנות יחיד, ובאופן אופציונלי, אישור ביניים אחד או יותר.
ההגבלות הבאות חלות על משאבי הגדרות אמון:
- משאב של הגדרת אמון יכול להכיל מאגר אישורים יחיד.
- במאגר אישורים מהימנים אפשר לשמור עד 100 אישורי ביניים של רשות אישורים. הגודל הכולל של עוגני אמון, אישורים ביניים ותעודות ברשימת ההיתרים כפוף להחישוב של גודל הגדרות האמון בפרויקט.
ישויות עוגן אמינות
עוגן מהימנות מייצג אישור בסיס יחיד לשימוש בתרחישי אימות הדדי של TLS. ישות עוגן אמינה מוכללת במאגר ישויות אמינות.
אישורי ביניים
אישור ביניים הוא אישור שנחתם על ידי אישור בסיס או על ידי אישור ביניים אחר במאגר האישורים המהימנים. אישורים ביניים משמשים לאימות TLS בו-זמני (mTLS).
אם יש לכם אישורים ביניים, אפשר להצפין אישור ביניים אחד או יותר בתוך מאגר ישויות אמינות, בהתאם להגדרת ה-PKI. בנוסף לאישורי הביניים הקיימים, הגדרת האמון כוללת את כל אישורי הביניים כחלק מהערכת האמון לכל בקשות החיבור.
אישורים שנדרשת לגביהם רשימת היתרים
כדי לאפשר ללקוחות לבצע אימות באמצעות אישור עם חתימה עצמית, אישור שתוקפו פג או אישור לא תקף, מוסיפים את האישור לשדה allowlistedCertificates של הגדרת האמון. אפשר גם להוסיף את האישור אם אין לכם גישה לאישורי הבסיס והביניים.
לא צריך מאגר אישורים מהימן כדי להוסיף אישור לרשימת ההיתרים.
כשמוסיפים אישור לרשימת ההיתרים, Certificate Manager מחשיב את האישור כתקף אם הוא עומד בתנאים הבאים:
- אפשר לנתח את האישור.
- הלקוח מוכיח שהוא מחזיק במפתח הפרטי של האישור.
- ההגבלות בשדה Subject Alternative Name (SAN) מתקיימות.
הגדרות הנפקת אישורים
הגדרת הנפקת אישורים היא משאב שמאפשר ל-Certificate Manager להשתמש במאגר רשויות אישורים ממופע Certificate Authority Service משלכם כדי להנפיק אישורים שמנוהלים על ידי Google. הגדרת הנפקת אישורים מאפשרת לכם לציין פרמטרים להנפקה ולתפוגה של אישורים, וגם את אלגוריתם המפתח לאישורים שמונפקים.
מידע נוסף על יצירה וניהול של הגדרות הנפקת תעודות זמין במאמר בנושא ניהול משאבי הגדרות הנפקת תעודות.