本文說明 Certificate Manager (第 2 代) 的核心元件,以及這些元件如何與您的 Google Cloud 資源和外部憑證授權單位來源互動。
Certificate Manager (第 2 代) 可讓您逐步採用各項功能。您可以先監控現有的憑證庫存,然後隨著需求增加,新增自動核發或信任管理功能。
核心元件
第 2 代 Certificate Manager 包含下列核心元件:
- 憑證目錄:專案中所有偵測到和手動上傳憑證的整合式清單。
- 總覽資訊主頁:監控工具,可匯總憑證環境的資訊,包括到期警示和安全性趨勢。
- 核發設定:可重複使用的政策,定義 Certificate Manager (第 2 代) 如何產生及管理自動憑證續訂。
- 信任設定:信任錨點的定義,例如根 CA 憑證,工作負載會使用這些憑證進行相互傳輸層安全標準 (mTLS) 驗證,以驗證身分。
功能獨立性
Certificate Manager (第 2 代) 的核心功能 (具體來說,就是憑證監控、核發設定和信任設定) 彼此獨立。你可以依任意順序使用這些方法。舉例來說,您可以使用目錄監控現有憑證,而不必設定自動核發功能,也可以為 mTLS 設定信任管理,而不必集中管理目錄。
架構總覽
下圖顯示這些元件之間的互動方式:
憑證清單會新增 CA 服務和整合 Google Cloud 資源的憑證。您可以使用總覽資訊主頁監控憑證健康狀態,並設定簽發和信任設定,自動管理生命週期。以下各節將詳細說明各個元件。
憑證可觀測性
Certificate Manager (第 2 代) 會自動監控環境,並從下列來源填入憑證目錄:
- 整合 Google Cloud 服務:服務使用的憑證,例如代管工作負載身分識別和 Cloud Load Balancing (包括上傳的憑證和傳統憑證)。
- 憑證授權單位服務:私人 CA 集區核發的憑證。
憑證監控
總覽資訊主頁會使用憑證目錄中的資料,彙整環境的健康狀態和安全性防護機制。您可以使用資訊主頁執行下列工作:
- 找出即將到期的憑證:查看所有服務中即將到期的憑證,並優先更新。
- 稽核安全防護:監控密碼編譯演算法和金鑰長度的分佈情況,確保符合安全標準。
- 追蹤核發趨勢:深入瞭解一段時間內的憑證使用和核發情形。
自動化憑證生命週期管理
您可以設定核發和信任設定,自動管理憑證:
- 核發設定:定義生命週期、金鑰演算法和輪替時間範圍等參數。將簽發設定與資源建立關聯後,Certificate Manager (第 2 代) 會自動產生及續約憑證。
- 信任設定:將信任錨點發布至應用程式,使用雙向傳輸層安全標準 (mTLS) 保護工作負載之間的通訊安全。這個方法可確保應用程式只信任核准的憑證。