本文說明 Certificate Manager (第 2 代) 的核心元件,以及這些元件如何與您的 Google Cloud 資源和外部憑證授權單位來源互動。
Certificate Manager (第 2 代) 可讓您逐步採用各項功能。您可以先監控現有的憑證商品目錄,然後隨著需求增加,新增自動核發或信任管理功能。
核心元件
第 2 代 Certificate Manager 包含下列核心元件:
- 憑證目錄:專案中所有偵測到和手動上傳憑證的整合清單。
- 總覽資訊主頁:監控工具,可匯總憑證環境,包括到期警示和安全性趨勢。
- 核發設定:可重複使用的政策,定義 Certificate Manager (第 2 代) 如何產生及管理自動憑證續約。
- 信任設定:信任錨點的定義,例如根 CA 憑證,工作負載會使用這些憑證進行雙向傳輸層安全標準 (mTLS) 驗證,以驗證身分。
架構總覽
下圖顯示這些元件之間的互動方式:
憑證清單會新增 CA 服務和整合 Google Cloud 資源的憑證。您可以使用總覽資訊主頁監控憑證健康狀態,並設定簽發和信任設定,自動管理生命週期。以下各節將詳細說明各個元件。
憑證可觀測性
Certificate Manager (第 2 代) 會自動監控您的環境,並從下列來源填入憑證目錄:
- 整合 Google Cloud 服務:服務使用的憑證,例如受管理的工作負載身分識別和 Cloud Load Balancing (包括上傳的憑證和傳統憑證)。
- 憑證授權單位服務:私人 CA 集區核發的憑證。
憑證監控
總覽資訊主頁會使用憑證目錄中的資料,彙整環境的健康狀態和安全性防護機制。您可以使用資訊主頁執行下列工作:
- 找出即將到期的憑證:查看所有服務中即將到期的憑證,並優先更新這些憑證。
- 稽核安全防護:監控密碼編譯演算法和金鑰長度的分佈情況,確保符合安全標準。
- 追蹤核發趨勢:深入瞭解一段時間內的憑證使用情形和核發情況。
自動化憑證生命週期管理
您可以設定核發和信任設定,自動管理憑證:
- 核發設定:定義生命週期、金鑰演算法和輪替時間範圍等參數。將簽發設定與資源建立關聯後,Certificate Manager (第 2 代) 會自動產生及續約憑證。
- 信任設定:將信任錨點發布至應用程式,使用雙向傳輸層安全標準 (mTLS) 保護工作負載之間的通訊安全。這種做法可確保應用程式只信任核准的憑證。