このドキュメントでは、Certificate Manager(第 2 世代)のコア コンポーネントと、それらが Google Cloud リソースおよび外部認証局ソースとどのように連携するかについて説明します。
Certificate Manager(第 2 世代)では、機能を段階的に導入できます。まず、既存の証明書インベントリのモニタリングから始め、必要に応じて自動発行や信頼管理を追加できます。
コア コンポーネント
Certificate Manager(第 2 世代)には、次のコア コンポーネントがあります。
- 証明書ディレクトリ: プロジェクトで検出されたすべての証明書と手動でアップロードされたすべての証明書の統合リスト。
- 概要ダッシュボード: 有効期限切れのアラートやセキュリティの傾向など、証明書環境の概要を示すモニタリング ツール。
- 発行構成: Certificate Manager(第 2 世代)が自動証明書の更新を生成して管理する方法を定義する再利用可能なポリシー。
- 信頼構成: ワークロードが相互 TLS(mTLS)で ID の検証に使用するルート CA 証明書などのトラスト アンカーの定義。
機能の独立性
Certificate Manager(第 2 世代)のコア機能(証明書のモニタリング、発行構成、信頼構成など)は、すべて相互に独立しています。これらは任意の順序で使用できます。たとえば、ディレクトリを使用して、自動発行を設定せずに既存の証明書をモニタリングしたり、ディレクトリを集中管理せずに mTLS の信頼管理を構成したりできます。
アーキテクチャの概要
次の図は、これらのコンポーネント間の相互作用を示しています。
コンポーネントのインタラクションを示す Certificate Manager(第 2 世代)のアーキテクチャ。証明書インベントリには、CA Service と統合された Google Cloud リソースの証明書が追加されます。概要ダッシュボードを使用すると、証明書の健全性をモニタリングし、発行と信頼の設定を構成してライフサイクル管理を自動化できます。以降のセクションでは、各コンポーネントについて詳しく説明します。
証明書のオブザーバビリティ
Certificate Manager(第 2 世代)は、環境を自動的にモニタリングし、次のソースから証明書ディレクトリにデータを入力します。
- 統合 Google Cloud サービス: マネージド ワークロード ID や Cloud Load Balancing などのサービスで使用される証明書(アップロードされた証明書や従来の証明書を含む)。
- Certificate Authority Service: プライベート CA プールによって発行された証明書。
証明書のモニタリング
概要ダッシュボードでは、証明書ディレクトリのデータを使用して、環境の健全性とセキュリティ ポスチャーを要約します。ダッシュボードを使用すると、次のタスクを実行できます。
- 有効期限切れの証明書を特定する: すべてのサービスで有効期限が近づいている証明書を確認して、更新の優先順位を付けます。
- セキュリティ ポスチャーを監査する: 暗号アルゴリズムと鍵長の分布をモニタリングして、セキュリティ基準への準拠を確保します。
- 発行の傾向を追跡する: 証明書の使用状況と発行の推移に関する分析情報を取得します。
証明書のライフサイクル管理の自動化
発行と信頼の設定を構成することで、証明書の管理を自動化できます。
- 発行構成: ライフタイム、鍵アルゴリズム、ローテーション ウィンドウなどのパラメータを定義します。発行構成がリソースに関連付けられると、Certificate Manager(第 2 世代)は証明書を自動的に生成して更新します。
- 信頼構成: 相互 TLS(mTLS)を使用してワークロード間の通信を保護するために、トラスト アンカーをアプリケーションに配布します。このアプローチにより、アプリケーションは承認された証明書のみを信頼します。