Questa pagina fornisce una panoramica dei componenti e dei concetti principali di Certificate Manager.
Certificati
Un certificato rappresenta un singolo certificato (SSL) X.509 Transport Layer Security (TLS) emesso per nomi o caratteri jolly di dominio specifici.
Certificate Manager supporta i seguenti tipi di certificati:
- Certificati gestiti da Google: certificati che Google Cloud ottiene e gestisce per te. Quando viene emesso o rinnovato un nuovo certificato gestito da Google, Certificate Manager utilizza una chiave privata appena generata per il certificato.
- Certificati autogestiti: certificati che ottieni, di cui esegui il provisioning, e che rinnovi autonomamente.
Certificati gestiti da Google
I certificati gestiti da Google sono certificati TLS che Google Cloud ottiene e gestisce per te. Certificate Manager ti consente di creare, gestire e rinnovare automaticamente i certificati gestiti da Google. Certificate Manager ti consente anche di verificare la proprietà del dominio utilizzando l'autorizzazione basata sul bilanciatore del carico o l'autorizzazione basata su DNS.
Certificate Manager supporta la Public Certificate Authority (CA) e la CA Let's Encrypt. Per impostazione predefinita, la Public CA emette certificati gestiti da Google. Se non riesci a ottenere un certificato dalla Public CA per un determinato dominio, Certificate Manager esegue il fallback alla CA Let's Encrypt. Questo può accadere in situazioni in cui la Public CA si rifiuta di emettere un certificato per un dominio o il record di autorizzazione dell'autorità di certificazione (CAA) vieta esplicitamente alla Public CA di emettere certificati per quel dominio. Per ulteriori informazioni su come limitare le CA che potrebbero emettere certificati per i tuoi domini, vedi Specificare le CA che possono emettere il certificato gestito da Google.
Di seguito sono riportati alcuni punti importanti da tenere presente quando utilizzi i certificati gestiti da Google con Certificate Manager:
- Certificate Manager supporta i certificati gestiti da Google RSA.
- I certificati gestiti da Google a livello di regione supportano solo l'autorizzazione basata su DNS e ottengono i certificati dalla Public CA.
- L'utilizzo di certificati gestiti da Google come certificati client per mutual TLS non è supportato.
- La validità predefinita dei certificati gestiti da Google pubblici è di 90 giorni per
tutti gli ambiti, ad eccezione di
EDGE_CACHE, che ha una validità di 30 giorni. La modifica della validità dei certificati gestiti da Google pubblici non è supportata.
Certificati pubblici e privati
Certificate Manager può gestire sia i certificati pubblici che quelli privati. Certificate Manager ottiene i certificati pubblici, che spesso proteggono i servizi pubblici, dalla CA pubblica. I principali browser, sistemi operativi e applicazioni riconoscono la Public CA come radice di attendibilità. Certificate Manager ottiene i certificati privati, che spesso proteggono i servizi privati, dal servizio CA.
Certificati autogestiti
Se non puoi utilizzare i certificati gestiti da Google a causa dei requisiti aziendali, puoi caricare i certificati emessi da CA esterne insieme alle chiavi associate. Devi emettere e rinnovare manualmente questi certificati autogestiti.
La risorsa Certificate di un certificato autogestito deve includere il certificato e la relativa catena. La catena di certificati contiene
certificati intermedi, che contribuiscono a stabilire l'attendibilità del
certificato radice. Puoi aggiungere la catena di certificati come singolo file con codifica PEM o come blocco di testo.
Assicurati di specificare la catena di certificati nel seguente ordine:
- Certificato end-entity
- Tutti i certificati intermedi
Tipi di chiavi supportati
I bilanciatori del carico supportano i certificati che utilizzano chiavi private di diversi tipi di chiavi. La tabella seguente mostra il supporto dei tipi di chiavi a seconda che i certificati siano autogestiti o gestiti da Google.|
SSL certificate type arrow_forward Key type arrow_downward |
Certificati SSL di Certificate Manager | ||
|---|---|---|---|
| Livello globale e di regione | |||
| Autogestito | Gestito da Google con attendibilità pubblica | Gestito da Google con attendibilità privata | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
Autorizzazioni di dominio
Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
Autorizzazione del bilanciatore del carico: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato senza creare un record DNS.
Autorizzazione DNS: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato dopo aver creato record DNS dedicati per la verifica della proprietà del dominio.
Per ulteriori informazioni, vedi Tipi di autorizzazione di dominio per i certificati gestiti da Google.
Non hai bisogno di autorizzazioni di dominio per i certificati autogestiti.
Mappe di certificati
Una mappa di certificati fa riferimento a una o più voci al suo interno che assegnano certificati e nomi host specifici. Le voci della mappa dei certificati definiscono anche la logica di selezione che il bilanciatore del carico segue quando stabilisce le connessioni client. Puoi associare una mappa dei certificati a più proxy di destinazione per riutilizzarla con più bilanciatori del carico.
Se un client richiede un nome host specificato in una mappa di certificati, il bilanciatore del carico fornisce i certificati mappati a quel nome host. In caso contrario, il bilanciatore del carico fornisce il certificato principale, ovvero il primo certificato elencato per un proxy di destinazione. Per ulteriori informazioni, vedi Come funziona Certificate Manager.
I seguenti bilanciatori del carico supportano le mappe di certificati:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico di rete proxy esterno globale
Per ulteriori informazioni sulla creazione e la gestione delle mappe di certificati, vedi Gestire le mappe di certificati.
Voci mappe di certificati
Una voce della mappa dei certificati è un elenco di certificati forniti per un nome di dominio specifico. Puoi definire diversi set di certificati per lo stesso dominio. Ad esempio, puoi caricare un certificato ECDSA e un certificato RSA e mapparli allo stesso nome di dominio.
Quando un client si connette a un nome di dominio, il bilanciatore del carico negozia il tipo di certificato da fornire al client durante l'handshake.
Puoi associare un massimo di quattro certificati a una singola voce della mappa dei certificati.
Per ulteriori informazioni sulla creazione e la gestione delle voci della mappa dei certificati, vedi Gestire le voci della mappa dei certificati.
Configurazioni di attendibilità
Una configurazione di attendibilità è una risorsa che rappresenta la configurazione dell'infrastruttura a chiave pubblica (PKI) in Certificate Manager da utilizzare in scenari di autenticazione TLS reciproca (mTLS). Incapsula un singolo archivio di attendibilità, che a sua volta incapsula un trust anchor e, facoltativamente, uno o più certificati intermedi.
Per saperne di più sull'autenticazione mutual TLS (mTLS), vedi Panoramica di mutual TLS nella documentazione di Cloud Load Balancing .
Per ulteriori informazioni sulle configurazioni di attendibilità e sui relativi componenti, vedi Gestire le configurazioni di attendibilità.
Archivi di attendibilità
Un archivio di attendibilità rappresenta la configurazione del secret di attendibilità in Certificate Manager da utilizzare in scenari di autenticazione TLS reciproca (mTLS). Un archivio di attendibilità incapsula un singolo trust anchor e, facoltativamente, uno o più certificati intermedi.
Le seguenti limitazioni si applicano alle risorse di configurazione di attendibilità:
- Una risorsa di configurazione di attendibilità può contenere un singolo archivio di attendibilità.
- Un archivio di attendibilità può contenere fino a 100 certificati CA intermedi. Le dimensioni totali dei trust anchor, dei certificati intermedi e dei certificati nella lista consentita sono regolate da il calcolo delle dimensioni della configurazione di attendibilità del progetto.
Trust anchor
Un trust anchor rappresenta un singolo certificato radice da utilizzare in scenari di autenticazione TLS reciproca (mTLS). Un trust anchor è incapsulato all'interno di un archivio di attendibilità.
Certificati intermedi
Un certificato intermedio è un certificato firmato da un certificato radice o da un altro certificato intermedio nell'archivio di attendibilità. I certificati intermedi vengono utilizzati per l'autenticazione TLS reciproca (mTLS).
Se hai certificati intermedi, uno o più certificati intermedi possono essere incapsulati all'interno di un archivio di attendibilità, a seconda della configurazione PKI. Oltre ai certificati intermedi esistenti, la configurazione di attendibilità include tutti i certificati intermedi come parte della valutazione dell'attendibilità per tutte le richieste di connessione.
Certificati che richiedono una lista consentita
Per consentire ai client di eseguire l'autenticazione con un certificato autofirmato, scaduto o non valido, aggiungi il certificato al campo allowlistedCertificates della configurazione di attendibilità. Puoi anche aggiungere il certificato se non hai accesso ai certificati radice e intermedi.
Non hai bisogno di un archivio di attendibilità per aggiungere un certificato a una lista consentita.
Quando aggiungi un certificato alla lista consentita, Certificate Manager lo considera valido se soddisfa le seguenti condizioni:
- Il certificato è analizzabile.
- Il client dimostra di possedere la chiave privata del certificato.
- I vincoli del campo Nome alternativo del soggetto (SAN) sono soddisfatti.
Configurazioni di emissione dei certificati
Una configurazione di emissione dei certificati è una risorsa che consente a Certificate Manager di utilizzare un pool di CA dalla tua istanza di Certificate Authority Service per emettere certificati gestiti da Google. Una configurazione di emissione dei certificati ti consente di specificare i parametri per l'emissione e la scadenza dei certificati, nonché l'algoritmo della chiave per i certificati emessi.
Per ulteriori informazioni sulla creazione e la gestione delle configurazioni di emissione dei certificati, vedi Gestire le risorse di configurazione di emissione dei certificati.