Visão geral do Gerenciador de certificados

O Gerenciador de certificados simplifica a aquisição, a implantação e o gerenciamento de certificados do Transport Layer Security (TLS). O Gerenciador de certificados oferece suporte à implantação de certificados globais e regionais em Google Cloud balanceadores de carga, certificados regionais em proxies do Secure Web Proxy e certificados globais na Media CDN.

Balanceadores de carga compatíveis

Google Cloud Os balanceadores de carga que se referem a um proxy HTTPS de destino ou a um proxy SSL de destino (TargetSslProxy) usam certificados TLS para criptografar informações enviadas pela rede.

Para usar o Certificate Manager, o balanceador de carga precisa ser compatível com o nível de serviço de rede correspondente. Para uma análise detalhada dos tipos de balanceador de carga e do suporte ao Nível de serviço de rede, consulte Resumo dos Google Cloud balanceadores de carga.

O Certificate Manager oferece suporte aos seguintes recursos de balanceador de carga:

Proxies HTTPS de destino usados por balanceadores de carga de aplicativo	Proxies SSL de destino usados por balanceadores de carga de rede de proxy
Balanceador de carga de aplicativo externo global Balanceador de carga de aplicativo clássico Balanceador de carga de aplicativo externo regional Balanceador de carga de aplicativo interno regional Balanceador de carga de aplicativo interno entre regiões	Balanceador de carga de rede de proxy externo global Balanceador de carga de rede de proxy clássico

Para mais informações sobre as diferenças entre os tipos de proxy HTTPS e SSL de destino, consulte Proxies de destino.

Certificados TLS compatíveis

O Certificate Manager oferece suporte aos seguintes tipos de certificados TLS:

• Certificados gerenciados pelo Google: certificados que Google Cloud o Google adquire e gerencia para você. Usando o Gerenciador de certificados, é possível emitir e renovar automaticamente certificados gerenciados pelo Google. Se você quiser usar sua própria cadeia de confiança em vez de depender de autoridades de certificação (ACs) públicas para emitir seus certificados, configure o Certificate Manager para usar um pool de ACs do Certificate Authority Service como emissor de certificados.

• Certificados autogerenciados: certificados que você adquire, provisiona e renova. Você faz o upload dos certificados para o Gerenciador de certificados e os gerencia manualmente. É possível usar certificados emitidos por ACs de terceiros, ACs confiáveis ou seus próprios certificados autoassinados.

Para mais informações sobre os certificados compatíveis, consulte Certificados.

Benefícios

O Certificate Manager oferece os seguintes benefícios:

Automação

• Emita, renove e gerencie automaticamente certificados gerenciados pelo Google.
• Provisione certificados gerenciados pelo Google com antecedência para permitir migrações perfeitas e sem tempo de inatividade para Google Cloud.

Segurança

• Armazene e implante milhões de certificados com segurança.
• Proteja suas configurações com certificados gerenciados pelo Google, eliminando a necessidade de gerenciar chaves privadas de certificado.
• Implemente a autenticação TLS mútua (mTLS) no balanceador de carga para aumentar a segurança. Para mais informações, consulte Visão geral do TLS mútuo na documentação do Cloud Load Balancing.

Flexibilidade

• Verifique a propriedade dos domínios usando métodos de autorização baseados em DNS ou em balanceador de carga.
• Escolha entre certificados gerenciados pelo Google (processados automaticamente pelo Google) ou certificados autogerenciados (adquiridos e gerenciados de forma independente).
• Use o protocolo ACME para receber certificados confiáveis publicamente para endpoints gerenciados pela Public Certificate Authority. Para mais informações, consulte Public CA.
• Gerencie todos os certificados de maneira unificada usando o Google Cloud console, a Google Cloud CLI ou a API Certificate Manager.
• Controle a atribuição e a seleção de certificados com base em nomes de domínio. Isso permite gerenciar e disponibilizar um número maior de certificados do que com certificados SSL do Compute Engine.
• Controle a atribuição e a seleção de certificados com base em nomes de host em um nível granular.

Limitações

O Certificate Manager tem as seguintes limitações:

• O Certificate Manager só oferece suporte à Public Certificate Authority e à AC Let's Encrypt para emitir certificados gerenciados pelo Google confiáveis publicamente.
• O Gerenciador de certificados só oferece suporte ao Certificate Authority Service para emitir certificados gerenciados pelo Google confiáveis de forma particular.
• O número de domínios permitidos no campo Nomes alternativos do assunto (SANs, na sigla em inglês) para certificados gerenciados pelo Google é limitado a um máximo de 100 ao usar a autorização de DNS e a um máximo de cinco ao usar a autorização do balanceador de carga.
• Os certificados gerenciados pelo Google têm limitações no comprimento dos nomes de domínio compatíveis. Para mais informações, consulte Limitações de comprimento de nome de domínio para certificados gerenciados pelo Google.
• Os certificados com o escopo ALL_REGIONS não oferecem suporte à autorização do balanceador de carga.
• Ao usar um balanceador de carga de aplicativo externo global ou um balanceador de carga de rede de proxy externo global baseado em SSL, você poderá ter latências de handshake TLS mais altas em alguns locais com o Certificate Manager em comparação com o uso de certificados SSL do Compute Engine.

A seguir

• Componentes principais do Certificate Manager
• Como o Gerenciador de certificados funciona