Nesta página, você encontra uma visão geral de como usar o Gerenciador de certificados para provisionar certificados gerenciados pelo Google e autogerenciados para balanceadores de carga de aplicativo e balanceadores de carga de rede proxy.
Antes de ler esta página, familiarize-se com a visão geral dos certificados SSL na documentação do Cloud Load Balancing.
Métodos de configuração do Gerenciador de certificados
O Gerenciador de certificados oferece dois métodos de configuração de certificados para balanceadores de carga de aplicativo que usam proxies HTTPS de destino e balanceadores de carga de rede de proxy que usam proxies SSL de destino. Esses são dois dos três métodos possíveis de configuração de certificado para o Cloud Load Balancing. Para mais informações sobre o Gerenciador de certificados e o Cloud Load Balancing, consulte Métodos de configuração de certificados na documentação do balanceamento de carga.
O proxy de destino do balanceador de carga faz referência a um mapa de certificado do Gerenciador de certificados: o proxy de destino do balanceador de carga faz referência a um único mapa de certificado. O mapa de certificado aceita milhares de entradas por padrão e pode ser escalonado para milhões de entradas. Esse método é usado por balanceadores de carga de aplicativo externos e de rede de proxy externo que são alimentados por front-ends do Google (GFEs):
- Balanceadores de carga de aplicativos externos globais
- Balanceadores de carga de aplicativo clássicos
- Balanceadores de carga de rede de proxy externo global
- Balanceadores de carga de rede de proxy clássicos
O proxy de destino do balanceador de carga faz referência direta aos certificados do Gerenciador de certificados: o proxy de destino do balanceador de carga pode fazer referência a até 100 certificados do Gerenciador de certificados. Esse método é usado pelos seguintes balanceadores de carga de aplicativo, que são alimentados pelo software proxy Envoy de código aberto gerenciado:
- Balanceadores de carga de aplicativo externos regionais
- Balanceadores de carga de aplicativo internos regionais
- Balanceadores de carga de aplicativo internos entre regiões
O Gerenciador de certificados também é compatível com os seguintes produtos, que fazem referência aos certificados do Gerenciador de certificados como parte da configuração:
O gateway do Secure Web Proxy faz referência aos certificados do Gerenciador de certificados: antes de configurar um gateway do Secure Web Proxy, crie um ou mais certificados do Gerenciador de certificados para o gateway usar. Para mais informações, consulte Implantar um certificado SSL e Implantar uma instância do Secure Web Proxy.
O serviço de cache de borda da Media CDN faz referência a certificados do Certificate Manager: um serviço de cache de borda da Media CDN aceita até cinco certificados do Certificate Manager. Para mais informações, consulte Certificados SSL (TLS) e Configurar certificados SSL (TLS).
Tipos de certificado
O Gerenciador de certificados é compatível com certificados gerenciados pelo Google e autogerenciados. Todos os balanceadores de carga de aplicativo que usam proxies HTTPS de destino e todos os balanceadores de carga de rede de proxy que aceitam proxies SSL de destino podem usar certificados do Gerenciador de certificados gerenciados pelo Google ou autogerenciados.
Certificados do Gerenciador de certificados gerenciados pelo Google: certificados que o Google Cloud recebe e gerencia para você. Dependendo do balanceador de carga e do método de configuração do Gerenciador de certificados, os certificados gerenciados pelo Google podem ser provisionados usando a autorização do balanceador de carga, a autorização de DNS ou o Certificate Authority Service (serviço de AC).
Certificados autogerenciados do Gerenciador de certificados: certificados que você recebe, provisiona e renova.
Suporte aos produtos
A tabela a seguir resume o suporte para certificados do Gerenciador de certificados gerenciados pelo Google e autogerenciados por produto.
| Produto | Certificados gerenciados pelo Google | Certificados autogerenciados | ||
|---|---|---|---|---|
| Autorização do balanceador de carga | Autorização de DNS | Certificate Authority Service (serviço de AC) | ||
Balanceadores de carga de aplicativo externos globais e balanceadores de carga de rede de proxy
|
Guia de implantação |
Guia de implantação |
Guia de implantação |
Guia de implantação |
Balanceadores de carga de aplicativo externos e internos regionais:
|
Guia de implantação |
Guia de implantação |
Guia de implantação |
|
| Balanceadores de carga de aplicativo internos entre regiões | Guia de implantação |
Guia de implantação |
Guia de implantação |
|
| Gateways do Secure Web Proxy | Guia de implantação |
Guia de implantação |
Guia de implantação |
|
| Serviços de cache de borda do Media CDN | ||||
A seguir
- Se você quiser migrar um certificado do balanceador de carga para o Gerenciador de certificados, siga as instruções em Migrar um certificado para o Gerenciador de certificados.
- Para mais informações sobre o Gerenciador de certificados e balanceadores de carga baseados em GFE, consulte Como o Gerenciador de certificados funciona.
- Se quiser usar a autenticação TLS mútua (mTLS), consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.