Funktionsweise von Zertifikatmanager (2. Generation)

In diesem Dokument werden die Kernkomponenten von Certificate Manager (2. Generation) und ihre Interaktion mit Ihren Google Cloud Ressourcen und externen Zertifizierungsstellen beschrieben.

Mit Zertifikatmanager (2. Generation) können Sie Funktionen schrittweise einführen. Sie können damit beginnen, Ihr vorhandenes Zertifikatinventar zu überwachen, und dann die automatische Ausstellung oder die Vertrauensverwaltung hinzufügen, wenn Ihre Anforderungen wachsen.

Kernkomponenten

Zertifikatmanager (2. Generation) hat die folgenden Kernkomponenten:

  • Zertifikatsverzeichnis: Eine einheitliche Liste aller erkannten und manuell hochgeladenen Zertifikate in Ihrem Projekt.
  • Übersichtsdashboard: Ein Monitoring-Tool, das Ihre Zertifikatumgebung zusammenfasst, einschließlich Ablaufbenachrichtigungen und Sicherheitstrends.
  • Ausstellungskonfigurationen: Wiederverwendbare Richtlinien, die definieren, wie Zertifikatmanager (2. Generation) automatische Zertifikatsverlängerungen generiert und verwaltet.
  • Konfigurationen der Vertrauensstellung: Definitionen für Vertrauensanker, z. B. Stammzertifikate der Zertifizierungsstelle, die Arbeitslasten für die gegenseitige TLS-Authentifizierung (mTLS) verwenden, um Identitäten zu überprüfen.

Unabhängigkeit der Funktionen

Die Kernfunktionen von Zertifikatmanager (2. Generation), insbesondere die Zertifikatsüberwachung, die Konfigurationen für die Zertifikatausstellung und die Vertrauenskonfigurationen, sind alle voneinander unabhängig. Sie können sie in beliebiger Reihenfolge verwenden. Sie können das Verzeichnis beispielsweise verwenden, um Ihre vorhandenen Zertifikate zu überwachen, ohne die automatische Ausstellung einzurichten. Oder Sie können die Vertrauensverwaltung für mTLS konfigurieren, ohne Ihr Verzeichnis zu zentralisieren.

Architektur

Das folgende Diagramm zeigt, wie diese Komponenten miteinander interagieren:

Architekturdiagramm mit den wichtigsten Komponenten von Zertifikatmanager (2. Generation) und deren Interaktionen mit Google Cloud-Ressourcen und externen Zertifizierungsstellen.
Architektur des Zertifikatmanagers (2. Generation) mit Komponenteninteraktionen.

Im Zertifikatsinventar werden Zertifikate aus CA Service und integrierten Google Cloud Ressourcen hinzugefügt. Mit dem Übersichts-Dashboard können Sie den Zertifikatsstatus im Blick behalten und die Lebenszyklusverwaltung automatisieren, indem Sie Ausstellungs- und Vertrauenseinstellungen konfigurieren. In den folgenden Abschnitten werden die einzelnen Komponenten im Detail beschrieben.

Beobachtbarkeit von Zertifikaten

Zertifikatmanager (2. Generation) überwacht Ihre Umgebung automatisch und füllt das Zertifikatverzeichnis aus den folgenden Quellen:

  • Integrierte Google Cloud Dienste: Zertifikate, die von Diensten wie Managed Workload Identity und Cloud Load Balancing verwendet werden (einschließlich hochgeladener und klassischer Zertifikate).
  • Certificate Authority Service: Zertifikate, die von Ihren privaten CA-Pools ausgestellt wurden.

Zertifikatsüberwachung

Im Übersichts-Dashboard werden die Daten aus dem Zertifikatsverzeichnis verwendet, um den Status und die Sicherheit Ihrer Umgebung zusammenzufassen. Mit dem Dashboard können Sie die folgenden Aufgaben ausführen:

  • Ablaufende Zertifikate identifizieren: Priorisieren Sie die Erneuerung, indem Sie sehen, welche Zertifikate in allen Diensten bald ablaufen.
  • Sicherheitsstatus prüfen: Überwachen Sie die Verteilung von kryptografischen Algorithmen und Schlüssellängen, um die Einhaltung von Sicherheitsstandards zu gewährleisten.
  • Trends bei der Ausstellung im Blick behalten: Sie erhalten Einblicke in die Verwendung und Ausstellung von Zertifikaten im Zeitverlauf.

Automatisierte Verwaltung des Zertifikatslebenszyklus

Sie können die Verwaltung Ihrer Zertifikate automatisieren, indem Sie Einstellungen für die Ausstellung und das Vertrauen konfigurieren:

  • Ausstellungskonfigurationen: Hier können Sie Parameter wie Lebensdauer, Schlüsselalgorithmus und Rotationszeitraum definieren. Wenn eine Ausstellungs-Konfiguration mit einer Ressource verknüpft ist, generiert und erneuert Zertifikatmanager (2. Generation) das Zertifikat automatisch.
  • Konfigurationen der Vertrauensstellung: Verteilen Sie Trust-Anker an Ihre Anwendungen, um die Kommunikation zwischen Arbeitslasten mit gegenseitigem TLS (mTLS) zu sichern. So wird sichergestellt, dass Anwendungen nur genehmigten Zertifikaten vertrauen.

Nächste Schritte