Este documento descreve os principais componentes do Gerenciador de certificados (2ª geração) e como eles interagem com seus Google Cloud recursos e fontes de autoridade de certificação externa.
O Certificate Manager (2ª geração) permite adotar recursos de forma incremental. Você pode começar monitorando seu inventário de certificados atual e, em seguida, adicionar a emissão automatizada ou o gerenciamento de confiança à medida que suas necessidades aumentam.
Principais componentes
O Certificate Manager (2ª geração) tem os seguintes componentes principais:
- Diretório de certificados: uma lista unificada de todos os certificados detectados e enviados manualmente no seu projeto.
- Painel de visão geral: uma ferramenta de monitoramento que resume o ambiente de certificados, incluindo alertas de expiração e tendências de segurança.
- Configurações de emissão: políticas reutilizáveis que definem como o Certificate Manager (2ª geração) gera e gerencia renovações automatizadas de certificados.
- Configurações de confiança: definições para âncoras de confiança, como certificados de AC raiz, que as cargas de trabalho usam para TLS mútuo (mTLS) para verificar identidades.
Independência de recursos
Os principais recursos do Certificate Manager (2ª geração), especificamente o monitoramento de certificados, as configurações de emissão e as configurações de confiança, são todos independentes uns dos outros. É possível usá-los em qualquer ordem. Por exemplo, você pode usar o diretório para monitorar seus certificados atuais sem configurar a emissão automatizada ou configurar o gerenciamento de confiança para mTLS sem centralizar o diretório.
Informações gerais da arquitetura
O diagrama a seguir mostra como esses componentes interagem entre si:
O inventário de certificados adiciona certificados do serviço de AC e recursos integrados Google Cloud . Você pode usar o painel de visão geral para monitorar a integridade do certificado e automatizar o gerenciamento do ciclo de vida configurando as configurações de emissão e confiança. As seções a seguir descrevem cada componente em detalhes.
Observabilidade de certificados
O Certificate Manager (2ª geração) monitora automaticamente seu ambiente e preenche o diretório de certificados com as seguintes fontes:
- Serviços Google Cloud integrados: certificados usados por serviços como a identidade da carga de trabalho gerenciada e o Cloud Load Balancing (incluindo certificados enviados e clássicos).
- Certificate Authority Service: certificados emitidos pelos seus pools de AC particulares.
Monitoramento de certificados
O painel de visão geral usa os dados do diretório de certificados para resumir a integridade e a postura de segurança do seu ambiente. Você pode usar o painel para realizar as seguintes tarefas:
- Identificar certificados expirados: priorize as renovações ao ver quais certificados estão perto da expiração em todos os serviços.
- Auditar a postura de segurança: monitore a distribuição de algoritmos criptográficos e comprimentos de chave para garantir a conformidade com os padrões de segurança.
- Acompanhar tendências de emissão: tenha insights sobre o uso e a emissão de certificados ao longo do tempo.
Gerenciamento automatizado do ciclo de vida de certificados
É possível automatizar o gerenciamento dos certificados configurando as configurações de emissão e confiança:
- Configurações de emissão: defina parâmetros como tempo de vida, algoritmo de chave, e janela de rotação. Quando uma configuração de emissão é associada a um recurso, o Certificate Manager (2ª geração) gera e renova automaticamente o certificado.
- Configurações de confiança: distribua âncoras de confiança aos aplicativos para proteger a comunicação de carga de trabalho para carga de trabalho usando TLS mútuo (mTLS). Essa abordagem garante que os aplicativos confiem apenas em certificados aprovados.
A seguir
- Comparar versões do Certificate Manager
- Ver diretório de certificados
- Monitorar seus certificados
- Criar configuração de emissão
- Criar configuração de confiança