인증서 관리자 개요

인증서 관리자를 사용하면 전송 계층 보안 (TLS) 인증서의 획득, 배포, 관리가 간소화됩니다. 인증서 관리자는 Google Cloud 부하 분산기에 전역 및 리전 인증서, 보안 웹 프록시 프록시에 리전 인증서, 미디어 CDN에 전역 인증서의 배포를 지원합니다.

지원되는 부하 분산기

대상 HTTPS 프록시 또는 대상 SSL 프록시 (TargetSslProxy)를 참조하는Google Cloud 부하 분산기는 TLS 인증서를 사용하여 네트워크를 통해 전송되는 정보를 암호화합니다.

인증서 관리자를 사용하려면 부하 분산기가 해당 네트워크 서비스 등급과 호환되어야 합니다. 부하 분산기 유형과 각 네트워크 서비스 등급 지원에 대한 자세한 내용은 Google Cloud 부하 분산기 요약을 참고하세요.

인증서 관리자는 다음 부하 분산기 리소스를 지원합니다.

애플리케이션 부하 분산기에서 사용하는 대상 HTTPS 프록시 프록시 네트워크 부하 분산기에서 사용하는 대상 SSL 프록시
  • 전역 외부 애플리케이션 부하 분산기
  • 기본 애플리케이션 부하 분산기
  • 리전 외부 애플리케이션 부하 분산기
  • 리전 내부 애플리케이션 부하 분산기
  • 리전 간 내부 애플리케이션 부하 분산기
  • 전역 외부 프록시 네트워크 부하 분산기
  • 기존 프록시 네트워크 부하 분산기

대상 HTTPS와 대상 SSL 프록시 유형 간 차이점에 대한 자세한 내용은 대상 프록시를 참고하세요.

지원되는 TLS 인증서

인증서 관리자는 다음과 같은 유형의 TLS 인증서를 지원합니다.

  • Google 관리형 인증서: Google Cloud에서 대신 발급받아서 관리하는 인증서입니다. 인증서 관리자를 사용하여 Google 관리형 인증서를 자동으로 발급하고 갱신할 수 있습니다. Public Certificate Authority (CA)를 사용해 인증서를 발급하는 대신 자체 신뢰 체인을 사용하려는 경우 Certificate Authority Service의 CA 풀을 사용하도록 인증서 관리자를 구성하면 됩니다.

  • 자체 관리형 인증서: 사용자가 직접 가져와 프로비저닝하고 갱신하는 인증서입니다. 인증서를 인증서 관리자에 수동으로 업로드하고 관리합니다. 서드 파티 CA, 신뢰할 수 있는 CA 또는 자체 자체 서명 인증서에서 발급한 인증서를 사용할 수 있습니다.

지원되는 인증서에 대한 자세한 내용은 인증서를 참고하세요.

이점

인증서 관리자는 다음과 같은 이점을 제공합니다.

자동화

  • Google 관리형 인증서를 자동으로 발급, 갱신, 관리합니다.
  • Google 관리형 인증서를 미리 프로비저닝하여 Google Cloud로 원활하게 다운타임 없이 마이그레이션할 수 있도록 합니다.

보안

  • 수백만 개의 인증서를 안전하게 저장하고 배포합니다.
  • Google 관리 인증서로 구성을 보호하여 인증서 비공개 키를 관리할 필요가 없습니다.
  • 보안 강화를 위해 부하 분산기에서 상호 TLS (mTLS) 인증을 구현하세요. 자세한 내용은 Cloud Load Balancing 문서의 상호 TLS 개요를 참고하세요.

유연성

  • DNS 기반 또는 부하 분산기 기반 승인 방법을 사용하여 도메인 소유권을 확인합니다.
  • Google 관리형 인증서 (Google에서 자동으로 처리) 또는 자체 관리형 인증서 (독립적으로 획득 및 관리) 중에서 선택합니다.
  • ACME 프로토콜을 사용하여 공개 인증 기관에서 관리하는 엔드포인트의 공개적으로 신뢰할 수 있는 인증서를 가져옵니다. 자세한 내용은 Public CA를 참조하세요.
  • Google Cloud 콘솔, Google Cloud CLI 또는 Certificate Manager API를 사용하여 모든 인증서를 통합 방식으로 관리합니다.
  • 도메인 이름을 기반으로 인증서 할당 및 선택을 제어합니다. 이를 통해 Compute Engine SSL 인증서보다 많은 수의 인증서를 관리하고 제공할 수 있습니다.
  • 호스트 이름을 기준으로 인증서 할당 및 선택을 세부적인 수준으로 제어합니다.

제한사항

인증서 관리자에는 다음과 같은 제한사항이 있습니다.

  • 인증서 관리자는 공개적으로 신뢰할 수 있는 Google 관리형 인증서를 발급하기 위해 공개 인증 기관 및 Let's Encrypt CA만 지원합니다.
  • 인증서 관리자는 비공개로 신뢰할 수 있는 Google 관리형 인증서를 발급하기 위해 Certificate Authority Service만 지원합니다.
  • Google 관리형 인증서의 주체 대체 이름 (SAN) 필드에 허용되는 도메인 수는 DNS 승인을 사용하는 경우 최대 100개로 제한되고, 부하 분산기 승인을 사용하는 경우 최대 5개로 제한됩니다.
  • Google 관리형 인증서에는 지원되는 도메인 이름 길이에 제한이 있습니다. 자세한 내용은 Google 관리형 인증서의 도메인 이름 길이 제한을 참고하세요.
  • 범위가 ALL_REGIONS인 인증서에서는 부하 분산기 승인을 지원하지 않습니다.
  • 전역 외부 애플리케이션 부하 분산기 또는 SSL 기반 전역 외부 프록시 네트워크 부하 분산기를 사용하는 경우 Compute Engine SSL 인증서를 사용하는 것과 비교하여 인증서 관리자를 사용할 때 일부 위치에서 TLS 핸드셰이크 지연 시간이 더 길어질 수 있습니다.

다음 단계