Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cara kerja Certificate Manager (generasi ke-2)

Dokumen ini menjelaskan komponen inti Pengelola Sertifikat (generasi ke-2) dan cara komponen tersebut berinteraksi dengan sumber otoritas sertifikat eksternal dan resource Google Cloud Anda.

Certificate Manager (generasi ke-2) memungkinkan Anda mengadopsi fitur secara bertahap. Anda dapat memulai dengan memantau inventaris sertifikat yang ada, lalu menambahkan penerbitan otomatis atau pengelolaan kepercayaan seiring dengan bertambahnya kebutuhan Anda.

Komponen inti

Certificate Manager (generasi ke-2) memiliki komponen inti berikut:

Direktori sertifikat: Daftar terpadu semua sertifikat yang terdeteksi dan diupload secara manual di project Anda.
Dasbor ringkasan: Alat pemantauan yang merangkum lingkungan sertifikat Anda, termasuk peringatan masa berlaku dan tren keamanan.
Konfigurasi penerbitan: Kebijakan yang dapat digunakan kembali yang menentukan cara Certificate Manager (generasi ke-2) membuat dan mengelola perpanjangan sertifikat otomatis.
Konfigurasi tepercaya: Definisi untuk anchor tepercaya, seperti sertifikat CA root, yang digunakan beban kerja untuk TLS timbal balik (mTLS) guna memverifikasi identitas.

Independensi fitur

Fitur inti Certificate Manager (generasi ke-2), khususnya, pemantauan sertifikat, konfigurasi penerbitan, dan konfigurasi kepercayaan, semuanya independen satu sama lain. Anda dapat menggunakannya dalam urutan apa pun. Misalnya, Anda dapat menggunakan direktori untuk memantau sertifikat yang ada tanpa menyiapkan penerbitan otomatis, atau Anda dapat mengonfigurasi pengelolaan kepercayaan untuk mTLS tanpa memusatkan direktori.

Ringkasan arsitektur

Diagram berikut menunjukkan cara komponen ini berinteraksi satu sama lain:

Diagram arsitektur yang menunjukkan komponen inti Certificate Manager (generasi ke-2) dan interaksinya dengan resource cloud Google dan sumber CA eksternal.

Inventaris sertifikat menambahkan sertifikat dari CA Service dan resource terintegrasi Google Cloud . Anda dapat menggunakan dasbor ringkasan untuk memantau kondisi sertifikat, dan mengotomatiskan pengelolaan siklus proses dengan mengonfigurasi setelan penerbitan dan kepercayaan. Bagian berikut menjelaskan setiap komponen secara mendetail.

Kemampuan observasi sertifikat

Certificate Manager (generasi ke-2) secara otomatis memantau lingkungan Anda dan mengisi direktori sertifikat dari sumber berikut:

Layanan yang terintegrasi Google Cloud : Sertifikat yang digunakan oleh layanan seperti managed workload identity dan Cloud Load Balancing (termasuk sertifikat klasik dan yang diupload).
Certificate Authority Service: Sertifikat yang diterbitkan oleh kumpulan CA pribadi Anda.

Pemantauan sertifikat

Dasbor ringkasan menggunakan data dari direktori sertifikat untuk meringkas kondisi dan postur keamanan lingkungan Anda. Anda dapat menggunakan dasbor untuk melakukan tugas berikut:

Mengidentifikasi sertifikat yang akan berakhir masa berlakunya: Prioritaskan perpanjangan dengan melihat sertifikat mana yang akan berakhir masa berlakunya di semua layanan.
Mengaudit postur keamanan: Memantau distribusi algoritma kriptografi dan panjang kunci untuk memastikan kepatuhan terhadap standar keamanan.
Melacak tren penerbitan: Dapatkan insight tentang penggunaan dan penerbitan sertifikat dari waktu ke waktu.

Pengelolaan siklus proses sertifikat otomatis

Anda dapat mengotomatiskan pengelolaan sertifikat dengan mengonfigurasi setelan penerbitan dan kepercayaan:

Konfigurasi penerbitan: Tentukan parameter seperti masa berlaku, algoritma kunci, dan periode rotasi. Jika konfigurasi penerbitan dikaitkan dengan resource, Certificate Manager (generasi ke-2) akan otomatis membuat dan memperpanjang sertifikat.
Konfigurasi tepercaya: Mendistribusikan anchor tepercaya ke aplikasi Anda untuk mengamankan komunikasi workload-ke-workload menggunakan TLS timbal balik (mTLS). Pendekatan ini memastikan aplikasi hanya memercayai sertifikat yang disetujui.