Funktionsweise von Zertifikatmanager (2. Generation)

In diesem Dokument werden die Kernkomponenten von Zertifikatmanager (2. Generation) und ihre Interaktion mit Ihren Google Cloud Ressourcen und externen Zertifizierungsstellen beschrieben.

Mit Zertifikatmanager (2. Generation) können Sie Funktionen schrittweise einführen. Sie können mit der Überwachung Ihres vorhandenen Zertifikatsinventars beginnen und dann die automatische Ausstellung oder Vertrauensverwaltung hinzufügen, wenn Ihre Anforderungen steigen.

Kernkomponenten

Zertifikatmanager (2. Generation) hat die folgenden Kernkomponenten:

  • Zertifikatsverzeichnis: Eine einheitliche Liste aller erkannten und manuell hochgeladenen Zertifikate in Ihrem Projekt.
  • Übersichts-Dashboard: Ein Überwachungstool, das Ihre Zertifikatsumgebung zusammenfasst, einschließlich Ablaufbenachrichtigungen und Sicherheitstrends.
  • Ausstellungskonfigurationen: Wiederverwendbare Richtlinien, die definieren, wie Zertifikatmanager (2. Generation) automatische Zertifikatsverlängerungen generiert und verwaltet.
  • Vertrauenskonfigurationen: Definitionen für Vertrauensanker wie Root-CA- Zertifikate, die von Arbeitslasten für die gegenseitige TLS-Authentifizierung (mTLS) zur Überprüfung von Identitäten verwendet werden.

Architektur

Das folgende Diagramm zeigt, wie diese Komponenten miteinander interagieren:

Architekturdiagramm mit den wichtigsten Komponenten von Certificate Manager (2. Generation) und deren Interaktionen mit Google Cloud-Ressourcen und externen CA-Quellen.
Architektur von Zertifikatmanager (2. Generation) mit Komponenteninteraktionen.

Das Zertifikatsinventar fügt Zertifikate aus CA Service und integrierten Google Cloud Ressourcen hinzu. Sie können das Übersichts-Dashboard verwenden, um den Zertifikatsstatus zu überwachen und die Lebenszyklusverwaltung zu automatisieren, indem Sie Ausstellungs- und Vertrauenseinstellungen konfigurieren. In den folgenden Abschnitten werden die einzelnen Komponenten im Detail beschrieben.

Zertifikatsbeobachtbarkeit

Zertifikatmanager (2. Generation) überwacht Ihre Umgebung automatisch und füllt das Zertifikatsverzeichnis aus den folgenden Quellen:

  • Integrierte Google Cloud Dienste: Zertifikate, die von Diensten wie der verwalteten Arbeitslastidentität und Cloud Load Balancing verwendet werden (einschließlich hochgeladener und klassischer Zertifikate).
  • Certificate Authority Service: Zertifikate, die von Ihren privaten CA-Pools ausgestellt wurden.

Zertifikatsüberwachung

Das Übersichts-Dashboard verwendet die Daten aus dem Zertifikatsverzeichnis, um den Status und die Sicherheitslage Ihrer Umgebung zusammenzufassen. Mit dem Dashboard können Sie die folgenden Aufgaben ausführen:

  • Ablaufende Zertifikate identifizieren: Priorisieren Sie Verlängerungen, indem Sie sehen, welche Zertifikate in allen Diensten bald ablaufen.
  • Sicherheitslage prüfen: Überwachen Sie die Verteilung von kryptografischen Algorithmen und Schlüssellängen, um die Einhaltung der Sicherheitsstandards zu gewährleisten.
  • Ausstellungstrends verfolgen: Gewinnen Sie Einblicke in die Zertifikatsnutzung und Ausstellung im Zeitverlauf.

Automatisierte Lebenszyklusverwaltung von Zertifikaten

Sie können die Verwaltung Ihrer Zertifikate automatisieren, indem Sie Ausstellungs- und Vertrauenseinstellungen konfigurieren:

  • Ausstellungskonfigurationen: Definieren Sie Parameter wie Lebensdauer, Schlüsselalgorithmus, und Rotationszeitraum. Wenn eine Ausstellungskonfiguration mit einer Ressource verknüpft ist, generiert und verlängert Zertifikatmanager (2. Generation) das Zertifikat automatisch.
  • Vertrauenskonfigurationen: Verteilen Sie Vertrauensanker an Ihre Anwendungen, um die Kommunikation zwischen Arbeitslasten mit gegenseitiger TLS-Authentifizierung (mTLS) zu sichern. So wird sichergestellt, dass Anwendungen nur genehmigten Zertifikaten vertrauen.

Nächste Schritte