Komponen inti Pengelola Sertifikat

Halaman ini memberikan ringkasan komponen dan konsep inti Certificate Manager.

Sertifikat

Sertifikat mewakili satu sertifikat X.509 Transport Layer Security (TLS) (SSL) yang diterbitkan untuk nama domain atau karakter pengganti domain tertentu.

Pengelola Sertifikat mendukung jenis sertifikat berikut:

  • Sertifikat yang dikelola Google: sertifikat yang Google Cloud diperoleh dan dikelola untuk Anda. Saat sertifikat yang dikelola Google baru diterbitkan atau diperpanjang, Pengelola Sertifikat akan menggunakan kunci pribadi yang baru dibuat untuk sertifikat tersebut.
  • Sertifikat yang dikelola sendiri: sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri.

Sertifikat yang dikelola Google

Sertifikat yang dikelola Google adalah sertifikat TLS yang Google Cloud diperoleh dan dikelola untuk Anda. Pengelola Sertifikat memungkinkan Anda membuat, mengelola, dan memperpanjang sertifikat yang dikelola Google secara otomatis. Certificate Manager juga memungkinkan Anda memverifikasi kepemilikan domain menggunakan otorisasi berbasis load balancer atau otorisasi berbasis DNS.

Certificate Manager mendukung Public Certificate Authority (CA) dan CA Let's Encrypt. Secara default, Public CA menerbitkan sertifikat yang dikelola Google. Jika Anda tidak dapat memperoleh sertifikat dari Public CA untuk domain tertentu, Certificate Manager akan menggunakan CA Let's Encrypt. Hal ini dapat terjadi jika Public CA menolak menerbitkan sertifikat untuk domain, atau data Certificate Authority Authorization (CAA) Anda secara eksplisit melarang Public CA menerbitkan sertifikat untuk domain tersebut. Untuk mengetahui informasi selengkapnya tentang cara membatasi CA yang dapat menerbitkan sertifikat untuk domain Anda, lihat Menentukan CA yang dapat menerbitkan sertifikat yang dikelola Google.

Beberapa poin penting yang perlu diingat saat menggunakan sertifikat yang dikelola Google dengan Pengelola Sertifikat:

  • Pengelola Sertifikat mendukung sertifikat yang dikelola Google RSA.
  • Sertifikat yang dikelola Google secara regional hanya mendukung otorisasi berbasis DNS dan memperoleh sertifikat dari Public CA.
  • Penggunaan sertifikat yang dikelola Google sebagai sertifikat klien untuk TLS bersama tidak didukung.
  • Masa berlaku default sertifikat yang dikelola Google secara publik adalah 90 hari untuk semua cakupan kecuali EDGE_CACHE, yang memiliki masa berlaku 30 hari. Mengubah masa berlaku sertifikat yang dikelola Google secara publik tidak didukung.

Sertifikat publik dan pribadi

Pengelola Sertifikat dapat mengelola sertifikat publik dan pribadi. Certificate Manager mendapatkan sertifikat publik, yang sering kali mengamankan layanan publik, dari Public CA. Browser, sistem operasi, dan aplikasi utama mengenali Public CA sebagai root of trust. Certificate Manager mendapatkan sertifikat pribadi, yang sering kali mengamankan layanan pribadi, dari CA Service.

Sertifikat yang dikelola sendiri

Jika Anda tidak dapat menggunakan sertifikat yang dikelola Google karena persyaratan bisnis, Anda dapat mengupload sertifikat yang diterbitkan oleh CA eksternal beserta kunci terkait. Anda harus menerbitkan dan memperpanjang sertifikat yang dikelola sendiri ini secara manual.

Resource Certificate dari sertifikat yang dikelola sendiri harus menyertakan sertifikat dan rantainya. Rantai sertifikat berisi intermediate certificate, yang membantu membangun kepercayaan pada root certificate. Anda dapat menambahkan rantai sertifikat sebagai satu file berenkode PEM atau sebagai blok teks.

Pastikan untuk menentukan rantai sertifikat dalam urutan berikut:

  1. Sertifikat entitas akhir
  2. Semua intermediate certificate

Jenis kunci yang didukung

Load balancer mendukung sertifikat yang menggunakan kunci pribadi dari berbagai jenis kunci. Tabel berikut menunjukkan dukungan jenis kunci, bergantung pada apakah sertifikat dikelola sendiri atau dikelola Google.
Jenis sertifikat SSL arrow_forward

Jenis kunci arrow_downward
Sertifikat SSL Certificate Manager
Global dan regional
Dikelola sendiri Dikelola Google dan dipercaya secara publik Dikelola Google dan dipercaya secara pribadi
RSA-2048
RSA-3072
RSA-4096
ECDSA P-256
ECDSA P-384

Otorisasi domain

Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikat yang dikelola Google-nya ingin Anda terbitkan dengan salah satu cara berikut:

  • Otorisasi load balancer: men-deploy sertifikat langsung ke load balancer yang didukung tanpa membuat data DNS.

  • Otorisasi DNS: men-deploy sertifikat langsung ke load balancer yang didukung setelah membuat data DNS khusus untuk verifikasi kepemilikan domain.

Untuk mengetahui informasi selengkapnya, lihat Jenis otorisasi domain untuk sertifikat yang dikelola Google.

Anda tidak memerlukan otorisasi domain untuk sertifikat yang dikelola sendiri.

Peta sertifikat

Peta sertifikat mereferensikan satu atau beberapa entri peta sertifikat yang menetapkan sertifikat tertentu ke nama host tertentu. Entri peta sertifikat juga menentukan logika pemilihan yang diikuti load balancer saat membuat koneksi klien. Anda dapat mengaitkan peta sertifikat dengan beberapa proxy target untuk digunakan kembali di beberapa load balancer.

Jika klien meminta nama host yang ditentukan dalam peta sertifikat, load balancer akan menayangkan sertifikat yang dipetakan ke nama host tersebut. Jika tidak, load balancer akan menayangkan sertifikat utama, yang merupakan sertifikat pertama yang tercantum untuk proxy target. Untuk mengetahui informasi selengkapnya, lihat Cara kerja Certificate Manager.

Load balancer berikut mendukung peta sertifikat:

  • Load Balancer Aplikasi eksternal global
  • Load Balancer Jaringan proxy eksternal global

Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola peta sertifikat, lihat Mengelola peta sertifikat.

Entri peta sertifikat

Entri peta sertifikat adalah daftar sertifikat yang ditayangkan untuk nama domain tertentu. Anda dapat menentukan kumpulan sertifikat yang berbeda untuk domain yang sama. Misalnya, Anda dapat mengupload sertifikat ECDSA dan RSA, lalu memetakannya ke nama domain yang sama.

Saat klien terhubung ke nama domain, load balancer akan menegosiasikan jenis sertifikat yang akan ditayangkan ke klien selama handshake.

Anda dapat mengaitkan maksimum empat sertifikat dengan satu entri peta sertifikat.

Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola entri peta sertifikat, lihat Mengelola entri peta sertifikat.

Konfigurasi tepercaya

Konfigurasi tepercaya adalah resource yang mewakili konfigurasi infrastruktur kunci publik (PKI) Anda di Certificate Manager untuk digunakan dalam skenario autentikasi TLS bersama. Konfigurasi tepercaya merangkum satu trust store, yang pada gilirannya merangkum trust anchor dan, secara opsional, satu atau beberapa intermediate certificate.

Untuk mempelajari autentikasi TLS bersama (mTLS) lebih lanjut, lihat Ringkasan TLS bersama dalam dokumentasi Cloud Load Balancing .

Untuk mengetahui informasi selengkapnya tentang konfigurasi tepercaya dan komponennya, lihat Mengelola konfigurasi tepercaya.

Trust store

Trust store mewakili konfigurasi Secret tepercaya di Certificate Manager untuk digunakan dalam skenario autentikasi TLS bersama. Trust store merangkum satu trust anchor dan, secara opsional, satu atau beberapa intermediate certificate.

Batasan berikut berlaku untuk resource konfigurasi tepercaya:

Trust anchor

Trust anchor mewakili satu root certificate untuk digunakan dalam skenario autentikasi TLS bersama. Trust anchor dienkapsulasi dalam trust store.

Intermediate certificate

Intermediate certificate adalah sertifikat yang ditandatangani oleh root certificate atau intermediate certificate lain di trust store. Intermediate certificate digunakan untuk autentikasi TLS bersama.

Jika Anda memiliki intermediate certificate, satu atau beberapa intermediate certificate dapat dienkapsulasi dalam trust store, bergantung pada konfigurasi PKI Anda. Selain intermediate certificate yang ada, konfigurasi tepercaya menyertakan semua intermediate certificate sebagai bagian dari evaluasi kepercayaan untuk semua permintaan koneksi.

Sertifikat yang memerlukan daftar yang diizinkan

Untuk mengizinkan klien melakukan autentikasi dengan sertifikat yang ditandatangani sendiri, masa berlakunya berakhir, atau tidak valid, tambahkan sertifikat ke kolom allowlistedCertificates konfigurasi tepercaya. Anda juga dapat menambahkan sertifikat jika tidak memiliki akses ke root certificate dan intermediate certificate. Anda tidak memerlukan trust store untuk menambahkan sertifikat ke daftar yang diizinkan.

Saat Anda menambahkan sertifikat ke daftar yang diizinkan, Pengelola Sertifikat akan menganggap sertifikat tersebut valid jika memenuhi kondisi berikut:

  • Sertifikat dapat diuraikan.
  • Klien membuktikan kepemilikan kunci pribadi sertifikat.
  • Batasan pada kolom Nama Alternatif Subjek (SAN) terpenuhi.

Konfigurasi penerbitan sertifikat

Konfigurasi penerbitan sertifikat adalah resource yang memungkinkan Pengelola Sertifikat menggunakan kumpulan CA dari instance Certificate Authority Service Anda sendiri untuk menerbitkan sertifikat yang dikelola Google. Konfigurasi penerbitan sertifikat memungkinkan Anda menentukan parameter untuk penerbitan dan masa berlaku sertifikat, serta algoritma kunci untuk sertifikat yang diterbitkan.

Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengelola konfigurasi penerbitan sertifikat, lihat Mengelola resource konfigurasi penerbitan sertifikat.

Langkah berikutnya