Panoramica di Certificate Manager

Certificate Manager semplifica l'acquisizione, il deployment e la gestione dei certificati TLS (Transport Layer Security). Gestore certificati supporta il deployment di certificati globali e regionali sui bilanciatori del carico, di certificati regionali sui proxy Secure Web Proxy e di certificati globali su Media CDN. Google Cloud

Bilanciatori del carico supportati

I bilanciatori del caricoGoogle Cloud che fanno riferimento a un proxy HTTPS di destinazione o a un proxy SSL di destinazione (TargetSslProxy) utilizzano certificati TLS per criptare le informazioni inviate sulla rete.

Per utilizzare Certificate Manager, il bilanciatore del carico deve essere compatibile con il livello di servizio di rete corrispondente. Per una suddivisione completa dei tipi di bilanciatori del carico e del relativo supporto dei livelli di servizio di rete, consulta Riepilogo dei Google Cloud bilanciatori del carico.

Certificate Manager supporta le seguenti risorse del bilanciatore del carico:

Proxy HTTPS di destinazione utilizzati dai bilanciatori del carico delle applicazioni	Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy
Bilanciatore del carico delle applicazioni esterno globale Bilanciatore del carico delle applicazioni classico Bilanciatore del carico delle applicazioni esterno regionale Bilanciatore del carico delle applicazioni interno regionale Bilanciatore del carico delle applicazioni interno tra regioni	Bilanciatore del carico di rete proxy esterno globale Bilanciatore del carico di rete proxy classico

Per ulteriori informazioni sulle differenze tra i tipi di proxy HTTPS di destinazione e SSL di destinazione, consulta Proxy di destinazione.

Certificati TLS supportati

Certificate Manager supporta i seguenti tipi di certificati TLS:

• Certificati gestiti da Google: certificati che Google Cloud ottiene e gestisce per te. Utilizzando Certificate Manager, puoi emettere e rinnovare automaticamente i certificati gestiti da Google. Se vuoi utilizzare la tua catena di attendibilità anziché affidarti ad autorità di certificazione (CA) pubbliche per l'emissione dei certificati, puoi configurare Certificate Manager in modo che utilizzi un pool di CA di Certificate Authority Service come emittente di certificati.

• Certificati autogestiti: certificati che ottieni, di cui esegui il provisioning e che rinnovi autonomamente. Carichi manualmente i certificati in Certificate Manager e li gestisci. Puoi utilizzare certificati emessi da CA di terze parti, CA di cui ti fidi o i tuoi certificati autofirmati.

Per ulteriori informazioni sui certificati supportati, vedi Certificati.

Vantaggi

Certificate Manager offre i seguenti vantaggi:

Automazione

• Emettere, rinnovare e gestire automaticamente i certificati gestiti da Google.
• Esegui il provisioning dei certificati gestiti da Google in anticipo per consentire migrazioni senza interruzioni e senza tempi di inattività a Google Cloud.

Sicurezza

• Archivia ed esegui il deployment in modo sicuro di milioni di certificati.
• Proteggi le tue configurazioni con i certificati gestiti da Google, eliminando la necessità di gestire le chiavi private dei certificati.
• Implementa l'autenticazione mutual TLS (mTLS) sul bilanciatore del carico per una maggiore sicurezza. Per saperne di più, consulta la panoramica di mutual TLS nella documentazione di Cloud Load Balancing.

Flessibilità

• Verifica la proprietà dei domini utilizzando metodi di autorizzazione basati su DNS o su bilanciamento del carico.
• Scegli tra certificati gestiti da Google (gestiti automaticamente da Google) o certificati autogestiti (ottenuti e gestiti in modo indipendente).
• Utilizza il protocollo ACME per ottenere certificati attendibili pubblicamente per gli endpoint che gestisci dalla Public Certificate Authority. Per saperne di più, consulta Public CA.
• Gestisci tutti i certificati in modo unificato utilizzando la console Google Cloud , Google Cloud CLI o l'API Certificate Manager.
• Controlla l'assegnazione e la selezione dei certificati in base ai nomi di dominio. In questo modo puoi gestire e pubblicare un numero maggiore di certificati rispetto ai certificati SSL di Compute Engine.
• Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a un livello granulare.

Limitazioni

Certificate Manager presenta le seguenti limitazioni:

• Certificate Manager supporta solo la Public Certificate Authority e l'autorità di certificazione Let's Encrypt per l'emissione di certificati gestiti da Google e attendibili pubblicamente.
• Certificate Manager supporta solo Certificate Authority Service per l'emissione di certificati gestiti da Google attendibili privatamente.
• Il numero di domini consentiti nel campo Subject Alternative Names (SAN) per i certificati gestiti da Google è limitato a un massimo di 100 quando utilizzi l'autorizzazione DNS e a un massimo di 5 quando utilizzi l'autorizzazione del bilanciatore del carico.
• I certificati gestiti da Google hanno limitazioni sulla lunghezza dei nomi di dominio supportati. Per ulteriori informazioni, vedi Limitazioni della lunghezza del nome di dominio per i certificati gestiti da Google.
• I certificati con ambito ALL_REGIONS non supportano l'autorizzazione del bilanciatore del carico.
• Quando utilizzi un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico di rete proxy esterno globale basato su SSL, potresti riscontrare latenze di handshake TLS più elevate in alcune località con Certificate Manager rispetto all'utilizzo dei certificati SSL di Compute Engine.

Passaggi successivi

• Componenti principali di Certificate Manager
• Come funziona Certificate Manager