Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cómo funciona el Administrador de certificados (2ª gen.)

En este documento, se describen los componentes centrales del Administrador de certificados (2ª gen.) y cómo interactúan con tus Google Cloud recursos y fuentes de autoridades certificadoras externas.

El Administrador de certificados (2ª gen.) te permite adoptar funciones de forma incremental. Puedes comenzar por supervisar tu inventario de certificados existente y, luego, agregar la emisión automatizada o la administración de confianza a medida que crezcan tus necesidades.

Componentes centrales

El Administrador de certificados (2ª gen.) tiene los siguientes componentes centrales:

Directorio de certificados: Es una lista unificada de todos los certificados detectados y subidos de forma manual en tu proyecto.
Panel de descripción general: Es una herramienta de supervisión que resume tu entorno de certificados, incluidas las alertas de vencimiento y las tendencias de seguridad.
Configuraciones de emisión: Son políticas reutilizables que definen cómo el Administrador de certificados (2ª gen.) genera y administra las renovaciones automáticas de certificados.
Configuraciones de confianza: Son definiciones para anclajes de confianza, como certificados de CA raíz, que las cargas de trabajo usan para TLS mutuo (mTLS) para verificar identidades.

Independencia de funciones

Las funciones principales del Administrador de certificados (2ª gen.), en particular, la supervisión de certificados, las configuraciones de emisión y las configuraciones de confianza, son independientes entre sí. Puedes usarlas en cualquier orden. Por ejemplo, puedes usar el directorio para supervisar tus certificados existentes sin configurar la emisión automatizada o puedes configurar la administración de confianza para mTLS sin centralizar tu directorio.

Descripción general de la arquitectura

En el siguiente diagrama, se muestra cómo interactúan estos componentes entre sí:

Diagrama de arquitectura que muestra los componentes principales de Administrador de certificados (2ª gen.) y sus interacciones con los recursos de Google Cloud y las fuentes de AC externas. — Arquitectura del Administrador de certificados (2ª gen.) que muestra las interacciones de los componentes

El inventario de certificados agrega certificados del servicio de CA y recursos integrados Google Cloud . Puedes usar el panel de descripción general para supervisar el estado del certificado y automatizar la administración del ciclo de vida configurando la emisión y la configuración de confianza. En las siguientes secciones, se describe cada componente en detalle.

Observabilidad de certificados

El Administrador de certificados (2ª gen.) supervisa automáticamente tu entorno y propaga el directorio de certificados desde las siguientes fuentes:

Servicios Google Cloud integrados: Certificados que usan servicios como la identidad de carga de trabajo administrada y Cloud Load Balancing (incluidos los certificados subidos y clásicos).
Certificate Authority Service: Certificados emitidos por tus grupos de CA privadas.

Supervisión de certificados

El panel de descripción general usa los datos del directorio de certificados para resumir el estado y la postura de seguridad de tu entorno. Puedes usar el panel para realizar las siguientes tareas:

Identificar certificados que vencen: Prioriza las renovaciones viendo qué certificados están por vencer en todos los servicios.
Auditar la postura de seguridad: Supervisa la distribución de algoritmos criptográficos y longitudes de clave para garantizar el cumplimiento de los estándares de seguridad.
Realizar un seguimiento de las tendencias de emisión: Obtén estadísticas sobre el uso y la emisión de certificados a lo largo del tiempo.

Administración automatizada del ciclo de vida de los certificados

Puedes automatizar la administración de tus certificados configurando la emisión y la configuración de confianza:

Configuraciones de emisión: Define parámetros como la duración, el algoritmo de clave, y la ventana de rotación. Cuando una configuración de emisión se asocia con un recurso, el Administrador de certificados (2ª gen.) genera y renueva automáticamente el certificado.
Configuraciones de confianza: Distribuye anclajes de confianza a tus aplicaciones para proteger la comunicación de carga de trabajo a carga de trabajo con TLS mutuo (mTLS). Este enfoque garantiza que las aplicaciones solo confíen en los certificados aprobados.