Certificate Manager の概要

Certificate Manager を使用すると、Transport Layer Security(TLS)証明書の取得、デプロイ、管理を簡素化できます。Certificate Manager は、 Google Cloud ロードバランサへのグローバル証明書とリージョン証明書のデプロイ、 安全なウェブプロキシ プロキシへのリージョン証明書のデプロイ、Media CDN へのグローバル証明書のデプロイをサポートしています。

サポートされているロードバランサ

ターゲット HTTPS プロキシまたはターゲット SSL プロキシ(TargetSslProxy)を参照するGoogle Cloud ロードバランサは、TLS 証明書を使用してネットワーク経由で送信される情報を暗号化します。

Certificate Manager を使用するには、ロードバランサが対応する Network Service Tier と互換性がある必要があります。ロードバランサのタイプとそれぞれの Network Service Tier のサポートの詳細については、 Google Cloud ロードバランサの概要をご覧ください。

Certificate Manager は、次のロードバランサ リソースをサポートしています。

アプリケーション ロードバランサで使用されるターゲット HTTPS プロキシ プロキシ ネットワーク ロードバランサで使用されるターゲット SSL プロキシ
  • グローバル外部アプリケーション ロードバランサ
  • 従来のアプリケーション ロードバランサ
  • リージョン外部アプリケーション ロードバランサ
  • リージョン内部アプリケーション ロードバランサ
  • クロスリージョン内部アプリケーション ロードバランサ
  • グローバル外部プロキシ ネットワーク ロードバランサ
  • 従来のプロキシ ネットワーク ロードバランサ

ターゲット HTTPS プロキシとターゲット SSL プロキシのタイプの違いについて詳しくは、ターゲット プロキシをご覧ください。

サポートされている TLS 証明書

Certificate Manager は、次のタイプの TLS 証明書をサポートしています。

  • Google マネージド証明書: Google Cloudがお客様に代わって取得して管理する証明書。Certificate Manager を使用すると、Google マネージド証明書を自動的に発行および更新できます。証明書を発行するために公開認証局(CA)に依存するのではなく、独自の信頼チェーンを使用する場合は、代わりに認証局として Certificate Authority Service から CA プールを使用するように Certificate Manager を構成できます。

  • セルフマネージド証明書: ご自分で取得、プロビジョニング、更新する証明書。証明書を手動で Certificate Manager にアップロードして管理します。サードパーティの CA または信頼できる CA によって発行された証明書、または独自の自己署名証明書を使用できます。

サポートされている証明書の詳細については、証明書をご覧ください。

利点

Certificate Manager には次の利点があります。

自動化

  • Google マネージド証明書を自動的に発行、更新、管理します。
  • Google マネージド証明書を事前にプロビジョニングして、 Google Cloudへのシームレスなゼロダウンタイム移行を実現します。

セキュリティ

  • 数百万の証明書を安全に保存してデプロイします。
  • Google マネージド証明書を使用して構成を保護し、証明書の秘密鍵を管理する必要をなくします。
  • セキュリティを強化するために、ロードバランサで相互 TLS(mTLS)認証を実装します。詳細については、Cloud Load Balancing ドキュメントの相互 TLS の概要をご覧ください。

柔軟性

  • DNS ベースまたはロードバランサ ベースの承認方法を使用して、ドメインの所有権を確認します。
  • Google マネージド証明書(Google が自動的に処理)またはセルフマネージド証明書(独自に取得して管理)のいずれかを選択します。
  • ACME プロトコルを使用して、管理するエンドポイントの公的に信頼できる証明書を公開認証局から取得します。詳しくは、Public CA をご覧ください。
  • Google Cloud コンソール、Google Cloud CLI、Certificate Manager API を使用して、すべての証明書を一元的に管理します。
  • ドメイン名に基づいて証明書の割り当てと選択を制御します。これにより、Compute Engine SSL 証明書よりも多くの証明書を管理して提供できます。
  • ホスト名に基づいて証明書の割り当てと選択を詳細なレベルで制御します。

制限事項

Certificate Manager には次の制限があります。

  • Certificate Manager は、公的に信頼できる Google マネージド証明書の発行に、パブリック認証局と Let's Encrypt CA のみをサポートします。
  • Certificate Manager は、組織内で信頼する Google マネージド証明書の発行に Certificate Authority Service のみをサポートします。
  • Google マネージド証明書のサブジェクトの代替名(SAN)フィールドで許可されるドメインの数は、DNS 認証を使用する場合は最大 100 個、ロードバランサ認証を使用する場合は最大 5 個に制限されています。
  • Google マネージド証明書には、サポートされているドメイン名の長さに関する制限があります。詳細については、Google マネージド証明書のドメイン名の長さ制限をご覧ください。
  • ALL_REGIONS スコープの証明書は、ロードバランサの承認をサポートしていません。
  • グローバル外部アプリケーション ロードバランサまたは SSL ベースのグローバル外部プロキシ ネットワーク ロードバランサを使用している場合、Certificate Manager を使用すると、Compute Engine SSL 証明書を使用した場合と比較して、一部のロケーションで TLS ハンドシェイクのレイテンシが高くなることがあります。

次のステップ