Der Zertifikatmanager vereinfacht den Erwerb, die Bereitstellung und die Verwaltung von TLS-Zertifikaten (Transport Layer Security). Der Zertifikatmanager unterstützt die Bereitstellung von globalen und regionalen Zertifikaten auf Google Cloud Load-Balancern, regionalen Zertifikaten auf Secure Web Proxy-Proxys und globalen Zertifikaten auf Media CDN.
Unterstützte Load-Balancer
Google Cloud Load-Balancer, die auf einen Ziel-HTTPS-Proxy oder einen Ziel-SSL-Proxy (TargetSslProxy) verweisen, verwenden TLS-Zertifikate, um über das Netzwerk gesendete Informationen zu verschlüsseln.
Damit Sie den Zertifikatmanager verwenden können, muss Ihr Load-Balancer kompatibel sein mit der entsprechenden Network Service Tier. Eine umfassende Aufschlüsselung der Load-Balancer-Typen und der jeweiligen Unterstützung für Network Service Tiers finden Sie unter Zusammenfassung der Google Cloud Load Balancer.
Der Zertifikatmanager unterstützt die folgenden Load-Balancer-Ressourcen:
| Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden | Ziel-SSL-Proxys, die von Proxy-Network Load Balancern verwendet werden |
|---|---|
|
|
Weitere Informationen zu den Unterschieden zwischen Ziel-HTTPS- und Ziel-SSL Proxy-Typen finden Sie unter Zielproxys.
Unterstützte TLS-Zertifikate
Der Zertifikatmanager unterstützt die folgenden Arten von TLS-Zertifikaten:
Von Google verwaltete Zertifikate: Zertifikate, die Google Cloud von Google abgerufen und verwaltet werden. Mit dem Zertifikatmanager können Sie von Google verwaltete Zertifikate automatisch ausstellen und erneuern. Wenn Sie Ihre eigene Vertrauenskette verwenden möchten, anstatt sich auf öffentliche Zertifizierungsstellen (CAs) zu verlassen, um Ihre Zertifikate auszustellen, können Sie den Zertifikatmanager so konfigurieren, dass stattdessen ein CA Pool aus dem Certificate Authority Service als Zertifikataussteller verwendet wird.
Selbstverwaltete Zertifikate: Zertifikate, die Sie selbst erwerben, bereitstellen und erneuern. Sie laden die Zertifikate manuell in den Zertifikatmanager hoch und verwalten sie. Sie können Zertifikate verwenden, die von Drittanbieter-CAs oder CAs, denen Sie vertrauen, ausgestellt wurden, oder Ihre eigenen selbst signierten Zertifikate.
Weitere Informationen zu den unterstützten Zertifikaten finden Sie unter Zertifikate.
Vorteile
Der Zertifikatmanager bietet folgende Vorteile:
Automatisierung
- Von Google verwaltete Zertifikate automatisch ausstellen, erneuern und verwalten.
- Von Google verwaltete Zertifikate im Voraus bereitstellen, um nahtlose, Migrationen ohne Ausfallzeiten zu ermöglichen Google Cloud.
Sicherheit
- Millionen von Zertifikaten sicher speichern und bereitstellen.
- Konfigurationen mit von Google verwalteten Zertifikaten sichern, sodass keine privaten Zertifikatschlüssel verwaltet werden müssen.
- Implementieren Sie die gegenseitige TLS-Authentifizierung (mTLS) auf Ihrem Load-Balancer für erweiterte Sicherheitsfunktionen. Weitere Informationen finden Sie in der Cloud Load Balancing Dokumentation unter Gegenseitige TLS Authentifizierung.
Flexibilität
- Die Inhaberschaft von Domains mit DNS-basierten oder Load-Balancer-basierten Autorisierungsmethoden bestätigen.
- Zwischen von Google verwalteten Zertifikaten (automatisch von Google verarbeitet) oder selbstverwalteten Zertifikaten (unabhängig abgerufen und verwaltet) wählen.
- Verwenden Sie das ACME-Protokoll, um öffentlich vertrauenswürdige Zertifikate für Endpunkte zu erhalten, die Sie von der Public Certificate Authority verwalten. Weitere Informationen finden Sie unter Public CA.
- Alle Zertifikate einheitlich über die Google Cloud Console, die Google Cloud CLI oder die Certificate Manager API verwalten.
- Zertifikatzuweisung und -auswahl basierend auf Domainnamen steuern. So können Sie eine größere Anzahl von Zertifikaten verwalten und bereitstellen als mit Compute Engine-SSL-Zertifikaten.
- Die Zuweisung und Auswahl von Zertifikaten basierend auf Hostnamen auf detaillierter Ebene steuern.
Beschränkungen
Für den Zertifikatmanager gelten die folgenden Beschränkungen:
- Der Zertifikatmanager unterstützt nur die Public Certificate Authority und die Zertifizierungsstelle von Let's Encrypt für die Ausstellung öffentlich vertrauenswürdiger von Google verwalteter Zertifikate.
- Der Zertifikatmanager unterstützt nur den Certificate Authority Service für die Ausstellung privat vertrauenswürdiger von Google verwalteter Zertifikate.
- Die Anzahl der Domains, die im Feld „Alternative Antragstellernamen“ (Subject Alternative Names, SANs) für von Google verwaltete Zertifikate zulässig sind, ist auf maximal 100 bei Verwendung der DNS-Autorisierung und auf maximal fünf bei Verwendung der Load-Balancer-Autorisierung beschränkt.
- Für von Google verwaltete Zertifikate gelten Beschränkungen hinsichtlich der Länge der unterstützten Domainnamen. Weitere Informationen finden Sie unter Beschränkungen der Länge von Domainnamen für von Google verwaltete Zertifikate.
- Zertifikate mit dem Bereich
ALL_REGIONSunterstützen keine Load-Balancer-Autorisierung. - Wenn Sie einen globalen externen Application Load Balancer oder einen SSL-basierten globalen externen Proxy-Network Load Balancer verwenden, kann es an einigen Standorten zu höheren TLS-Handshake-Latenzen mit dem Zertifikatmanager kommen als bei Verwendung von Compute Engine-SSL-Zertifikaten.
Zertifikatmanager (2. Generation)
Der Zertifikatmanager bietet auch ein Produkt der zweiten Generation namens Zertifikatmanager (2. Generation). Informationen zu den Funktionen und Möglichkeiten der nächsten Generation dieses Produkts finden Sie unter Zertifikatmanager (2. Generation) Übersicht.
Nächste Schritte
- Kernkomponenten des Zertifikatmanagers
- Funktionsweise des Zertifikatmanagers
- Zertifikatmanager (2. Generation) – Übersicht
- Zertifikatmanager-Versionen vergleichen