סקירה כללית על Certificate Manager

Certificate Manager מפשט את תהליך הרכישה, הפריסה והניהול של אישורי Transport Layer Security ‏ (TLS). ב-Certificate Manager יש תמיכה בפריסה של אישורים גלובליים ואזוריים ב Google Cloud מאזני עומסים, אישורים אזוריים בשרתי proxy של Secure Web Proxy ואישורים גלובליים ב-Media CDN.

מאזני עומסים נתמכים

Google Cloud מאזני עומסים שמפנים לשרת proxy של HTTPS או לשרת proxy של SSL (TargetSslProxy) משתמשים באישור TLS כדי להצפין מידע שנשלח ברשת.

כדי להשתמש ב-Certificate Manager, מאזן העומסים צריך להיות תואם למסלול שירות הרשת המתאים. לפירוט מקיף של סוגי מאזני העומסים והתמיכה שלהם במסלולי שירות הרשת, אפשר לעיין בסיכום של מאזני העומסים. Google Cloud

בטבלה הבאה מפורטות שיטות ההגדרה של אישורים שכל מאזן עומסים תומך בהן.

מאזן עומסים שיטת ההגדרה של האישור
Certificate Manager (מפת אישורים) Certificate Manager (אישורים פרטיים)
מאזני עומסים של אפליקציות (proxy ל-HTTPS עם יעד)
מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) בניהול עצמי
בניהול Google
מאזן עומסים קלאסי של אפליקציות (ALB) בניהול עצמי
בניהול Google
מאזן עומסים חיצוני אזורי של אפליקציות (ALB) בניהול עצמי
בניהול Google
מאזן עומסים פנימי אזורי של אפליקציות (ALB) בניהול עצמי
בניהול Google
מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים בניהול עצמי
בניהול Google
מאזני עומסי רשת לשרת proxy (שרתי proxy יעד ל-SSL)
מאזן עומסי רשת גלובלי חיצוני בשרת proxy בניהול עצמי
בניהול Google
מאזן עומסי רשת קלאסי בשרת proxy בניהול עצמי
בניהול Google

מידע נוסף על ההבדלים בין סוגי פרוקסי של HTTPS ו-SSL לטירגוט זמין במאמר פרוקסי לטירגוט.

אישורי TLS נתמכים

Certificate Manager תומך בסוגים הבאים של אישורי TLS:

  • אישורים שמנוהלים על ידי Google: אישורים ש- Google Cloudמקבלת ומנהלת בשבילכם. באמצעות Certificate Manager, אתם יכולים להנפיק ולחדש באופן אוטומטי אישורים שמנוהלים על ידי Google. אם אתם רוצים להשתמש בשרשרת מהימנות משלכם במקום להסתמך על רשויות אישורים (CA) ציבוריות להנפקת האישורים, אתם יכולים להגדיר את Certificate Manager כך שישתמש במאגר CA מ-Certificate Authority Service בתור מנפיק האישורים.

  • אישורים בניהול עצמי: אישורים שאתם מקבלים, מספקים ומחדשים בעצמכם. אתם מעלים את האישורים באופן ידני ל-Certificate Manager ומנהלים אותם. אתם יכולים להשתמש באישורים שהונפקו על ידי רשויות אישורים (CA) של צד שלישי, או רשויות אישורים שאתם סומכים עליהן, או באישורים בחתימה עצמית משלכם.

מידע נוסף על האישורים הנתמכים זמין במאמר בנושא אישורים.

יתרונות

היתרונות של Certificate Manager:

פעולות אוטומטיות

  • הנפקה, חידוש וניהול אוטומטיים של אישורים בניהול Google.
  • כדי לאפשר מעבר חלק ל- Google Cloudללא השבתה, מומלץ להקצות מראש אישורים שמנוהלים על ידי Google.

אבטחה

  • אחסון ופריסה מאובטחים של מיליוני אישורים.
  • אפשר לאבטח את ההגדרות באמצעות אישורים שמנוהלים על ידי Google, כך שלא צריך לנהל מפתחות פרטיים של אישורים.
  • כדי לשפר את האבטחה, כדאי להטמיע אימות TLS בו-זמני (mTLS) במאזן העומסים. מידע נוסף זמין במאמר סקירה כללית על TLS דו-צדדי במסמכי התיעוד של Cloud Load Balancing.

גמישות

  • אפשר לאמת את הבעלות על דומיינים באמצעות שיטות הרשאה שמבוססות על DNS או על איזון עומסים.
  • בוחרים בין אישורים שמנוהלים על ידי Google (מטופלים אוטומטית על ידי Google) לבין אישורים בניהול עצמי (מתקבלים ומנוהלים באופן עצמאי).
  • משתמשים בפרוטוקול ACME כדי לקבל אישורים מהימנים לנקודות קצה שאתם מנהלים מ-Public Certificate Authority. מידע נוסף זמין במאמר בנושא רשות אישורים ציבורית.
  • לנהל את כל האישורים באופן מאוחד באמצעות מסוף Google Cloud , Google Cloud CLI או Certificate Manager API.
  • שליטה בהקצאה ובבחירה של אישורים על סמך שמות דומיין. כך אפשר לנהל ולהציג מספר גדול יותר של אישורים מאשר עם אישורי SSL של Compute Engine.
  • שליטה בהקצאה ובבחירה של אישורים על סמך שמות מארחים ברמה מפורטת.

מגבלות

אלו המגבלות שחלות על Certificate Manager:

  • Certificate Manager תומך רק ב-Public Certificate Authority וב-Let's Encrypt CA להנפקת אישורים מהימנים ש-Google מנהלת.
  • Certificate Manager תומך רק ב-Certificate Authority Service להנפקת אישורים בניהול Google שמהימנים באופן פרטי.
  • כשמשתמשים באימות DNS, מספר הדומיינים שמותר להזין בשדה Subject Alternative Names (SANs) (שמות חלופיים של הנושא) באישורים שמנוהלים על ידי Google מוגבל ל-100 לכל היותר. כשמשתמשים באימות מאזן עומסים, מספר הדומיינים מוגבל ל-5 לכל היותר.
  • יש מגבלות על האורך של שמות הדומיינים שנתמכים באישורים שמנוהלים על ידי Google. מידע נוסף זמין במאמר בנושא מגבלות על אורך שמות הדומיינים עבור אישורים שמנוהלים על ידי Google.
  • אישורים עם היקף ALL_REGIONS לא תומכים בהרשאה של מאזן עומסים.
  • כשמשתמשים במאזן עומסים חיצוני גלובלי של אפליקציות או במאזן עומסי רשת בשרת proxy חיצוני גלובלי מבוסס-SSL, יכול להיות שתיתקלו בחביון גבוה יותר של לחיצת היד של TLS במיקומים מסוימים עם Certificate Manager, בהשוואה לשימוש באישור SSL של Compute Engine.

Certificate Manager (דור שני)

בנוסף, יש מוצר דור שני שנקרא Certificate Manager (דור שני). מידע על התכונות והיכולות של הדור הבא של המוצר הזה זמין במאמר סקירה כללית של Certificate Manager (דור שני).

המאמרים הבאים