Certificate Manager semplifica l'acquisizione, il deployment e la gestione dei certificati TLS (Transport Layer Security). Certificate Manager supporta il deployment di certificati globali e regionali sui Google Cloud bilanciatori del carico, di certificati regionali sui proxy Secure Web Proxy e di certificati globali su Media CDN.
Bilanciatori del carico supportati
Google Cloud I bilanciatori del carico che fanno riferimento a un proxy HTTPS di destinazione o a un proxy SSL di destinazione (TargetSslProxy) utilizzano certificati TLS per criptare le informazioni inviate sulla rete.
Per utilizzare Certificate Manager, il bilanciatore del carico deve essere compatibile con il livello di servizio di rete corrispondente. Per un'analisi completa dei tipi di bilanciatori del carico e del relativo supporto per il livello di servizio di rete, consulta il riepilogo dei Google Cloud bilanciatori del carico.
Certificate Manager supporta le seguenti risorse del bilanciatore del carico:
| Proxy HTTPS di destinazione utilizzati dai bilanciatori del carico delle applicazioni | Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy |
|---|---|
|
|
Per ulteriori informazioni sulle differenze tra i tipi di proxy HTTPS di destinazione e proxy SSL di destinazione, consulta Proxy di destinazione.
Certificati TLS supportati
Certificate Manager supporta i seguenti tipi di certificati TLS:
Certificati gestiti da Google: certificati che Google Cloud ottiene e gestisce per te. Con Certificate Manager, puoi emettere e rinnovare automaticamente i certificati gestiti da Google. Se vuoi utilizzare la tua catena di attendibilità anziché affidarti alle autorità di certificazione (CA) pubbliche per emettere i certificati, puoi configurare Certificate Manager in modo che utilizzi un pool di CA del Certificate Authority Service come emittente di certificati.
Certificati autogestiti: certificati che ottieni, di cui esegui il provisioning e che rinnovi autonomamente. Carichi manualmente i certificati in Certificate Manager e li gestisci. Puoi utilizzare certificati emessi da CA di terze parti, CA di cui ti fidi o i tuoi certificati autofirmati.
Per ulteriori informazioni sui certificati supportati, consulta Certificati.
Vantaggi
Certificate Manager offre i seguenti vantaggi:
Automazione
- Emetti, rinnova e gestisci automaticamente i certificati gestiti da Google.
- Esegui il provisioning in anticipo dei certificati gestiti da Google per consentire migrazioni senza interruzioni, senza tempi di inattività Google Cloud.
Sicurezza
- Archivia e distribuisci in modo sicuro milioni di certificati.
- Proteggi le tue configurazioni con i certificati gestiti da Google, eliminando la necessità di gestire le chiavi private dei certificati.
- Implementa l'autenticazione mutual TLS (mTLS) sul bilanciatore del carico per una maggiore sicurezza. Per ulteriori informazioni, consulta la panoramica di mutual TLS nella documentazione di Cloud Load Balancing.
Flessibilità
- Verifica la proprietà dei domini utilizzando metodi di autorizzazione basati su DNS o sul bilanciatore del carico.
- Scegli tra i certificati gestiti da Google (gestiti automaticamente da Google) o i certificati autogestiti (ottenuti e gestiti in modo indipendente).
- Utilizza il protocollo ACME per ottenere certificati attendibili pubblicamente per gli endpoint gestiti dalla Public Certificate Authority. Per ulteriori informazioni, consulta Public CA.
- Gestisci tutti i certificati in modo unificato utilizzando la Google Cloud console, Google Cloud CLI o l'API Certificate Manager.
- Controlla l'assegnazione e la selezione dei certificati in base ai nomi di dominio. In questo modo puoi gestire ed erogare un numero maggiore di certificati rispetto a i certificati SSL di Compute Engine.
- Controlla l'assegnazione e la selezione dei certificati in base ai nomi host a livello granulare.
Limitazioni
Certificate Manager presenta le seguenti limitazioni:
- Certificate Manager supporta solo la Public Certificate Authority e la CA Let's Encrypt per l'emissione di certificati gestiti da Google attendibili pubblicamente.
- Certificate Manager supporta solo Certificate Authority Service per l'emissione di certificati gestiti da Google attendibili privatamente.
- Il numero di domini consentiti nel campo Nomi alternativi del soggetto (SAN) per i certificati gestiti da Google è limitato a un massimo di 100 quando si utilizza l'autorizzazione DNS e a un massimo di cinque quando si utilizza l'autorizzazione del bilanciatore del carico.
- I certificati gestiti da Google hanno limitazioni sulla lunghezza dei nomi di dominio supportati. Per ulteriori informazioni, consulta Limitazioni della lunghezza dei nomi di dominio per i certificati gestiti da Google.
- I certificati con ambito
ALL_REGIONSnon supportano l'autorizzazione del bilanciatore del carico. - Quando utilizzi un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico di rete proxy esterno globale basato su SSL, potresti riscontrare latenze di handshake TLS più elevate in alcune località con Certificate Manager rispetto all'utilizzo dei certificati SSL di Compute Engine.
Certificate Manager (2ª generazione.)
Certificate Manager offre anche un prodotto di seconda generazione chiamato Certificate Manager (2ª generazione.). Per informazioni sulle funzionalità e sulle capacità della prossima generazione di questo prodotto, consulta la panoramica di Certificate Manager (2ª generazione.).
Passaggi successivi
- Componenti principali di Certificate Manager
- Come funziona Certificate Manager
- Panoramica di Certificate Manager (2ª generazione.)
- Confrontare le versioni di Certificate Manager