Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Come funziona Certificate Manager (2ª generazione.)

Questo documento descrive i componenti principali di Certificate Manager (2ª generazione.) e il modo in cui interagiscono con le tue Google Cloud risorse e le origini delle autorità di certificazione esterne.

Certificate Manager (2ª generazione.) ti consente di adottare le funzionalità in modo incrementale. Puoi iniziare monitorando l'inventario dei certificati esistente e poi aggiungere l'emissione automatica o la gestione dell'attendibilità man mano che le tue esigenze aumentano.

Componenti principali

Certificate Manager (2ª generazione.) ha i seguenti componenti principali:

Directory dei certificati: un elenco unificato di tutti i certificati rilevati e caricati manualmente nel tuo progetto.
Dashboard di panoramica: uno strumento di monitoraggio che riepiloga l'ambiente dei certificati, inclusi gli avvisi di scadenza e le tendenze di sicurezza.
Configurazioni di emissione: criteri riutilizzabili che definiscono il modo in cui Certificate Manager (2ª generazione.) genera e gestisce i rinnovi automatici dei certificati.
Configurazioni di attendibilità: definizioni per gli ancoraggi di attendibilità, come i certificati CA root, che i workload utilizzano per il protocollo mutual TLS (mTLS) per verificare le identità.

Indipendenza delle funzionalità

Le funzionalità principali di Certificate Manager (2ª generazione.), in particolare il monitoraggio dei certificati, le configurazioni di emissione e le configurazioni di attendibilità, sono tutte indipendenti l'una dall'altra. Puoi utilizzarle in qualsiasi ordine. Ad esempio, puoi utilizzare la directory per monitorare i certificati esistenti senza configurare l'emissione automatica oppure puoi configurare la gestione dell'attendibilità per mTLS senza centralizzare la directory.

Panoramica dell'architettura

Il seguente diagramma mostra l'interazione tra questi componenti:

Diagramma dell'architettura che mostra i componenti principali di Certificate Manager (2ª generazione.) e le relative interazioni con le risorse Google Cloud e le origini CA esterne. — Architettura di Certificate Manager (2ª generazione.) che mostra le interazioni tra i componenti.

L'inventario dei certificati aggiunge i certificati da CA Service e dalle risorse integrate Google Cloud . Puoi utilizzare la dashboard di panoramica per monitorare l'integrità dei certificati e automatizzare la gestione del ciclo di vita configurando le impostazioni di emissione e attendibilità. Le sezioni seguenti descrivono in dettaglio ogni componente.

Osservabilità dei certificati

Certificate Manager (2ª generazione.) monitora automaticamente il tuo ambiente e popola la directory dei certificati dalle seguenti origini:

Servizi Google Cloud integrati: certificati utilizzati da servizi come Workload Identity gestita e Cloud Load Balancing (inclusi i certificati caricati e classici).
Certificate Authority Service: certificati emessi dai pool di CA private.

Monitoraggio dei certificati

La dashboard di panoramica utilizza i dati della directory dei certificati per riepilogare l'integrità e la postura di sicurezza del tuo ambiente. Puoi utilizzare la dashboard per eseguire le seguenti attività:

Identificare i certificati in scadenza: dai la priorità ai rinnovi visualizzando i certificati in scadenza in tutti i servizi.
Controllare la postura di sicurezza: monitora la distribuzione degli algoritmi crittografici e delle lunghezze delle chiavi per garantire la conformità agli standard di sicurezza.
Monitorare le tendenze di emissione: ottieni informazioni sull'utilizzo e sull' emissione dei certificati nel tempo.

Gestione automatizzata del ciclo di vita dei certificati

Puoi automatizzare la gestione dei certificati configurando le impostazioni di emissione e attendibilità:

Configurazioni di emissione: definisci parametri come durata, algoritmo della chiave, e finestra di rotazione. Quando una configurazione di emissione è associata a una risorsa, Certificate Manager (2ª generazione.) genera e rinnova automaticamente il certificato.
Configurazioni di attendibilità: distribuisci gli ancoraggi di attendibilità alle tue applicazioni per proteggere la comunicazione da workload a workload utilizzando il protocollo mutual TLS (mTLS). Questo approccio garantisce che le applicazioni si fidino solo dei certificati approvati.