Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Fonctionnement de Certificate Manager (2e génération)

Ce document décrit les composants principaux de Certificate Manager (2e génération) et leur interaction avec vos ressources Google Cloud et les sources d'autorité de certification externes.

Le gestionnaire de certificats (2e génération) vous permet d'adopter les fonctionnalités de manière incrémentielle. Vous pouvez commencer par surveiller votre inventaire de certificats existant, puis ajouter l'émission automatisée ou la gestion de la confiance à mesure que vos besoins évoluent.

Composants principaux

Certificate Manager (2e génération) comporte les composants principaux suivants :

Répertoire des certificats : liste unifiée de tous les certificats détectés et importés manuellement dans votre projet.
Tableau de bord "Vue d'ensemble" : outil de surveillance qui récapitule votre environnement de certificats, y compris les alertes d'expiration et les tendances en matière de sécurité.
Configurations d'émission : règles réutilisables qui définissent la manière dont Certificate Manager (2e génération) génère et gère les renouvellements automatiques de certificats.
Configurations de confiance : définitions des ancres de confiance, telles que les certificats d'autorité de certification racine, que les charges de travail utilisent pour le protocole TLS mutuel (mTLS) afin de valider les identités.

Indépendance des caractéristiques

Les principales fonctionnalités de Certificate Manager (2e génération), en particulier la surveillance des certificats, les configurations d'émission et les configurations de confiance, sont toutes indépendantes les unes des autres. Vous pouvez les utiliser dans n'importe quel ordre. Par exemple, vous pouvez utiliser le répertoire pour surveiller vos certificats existants sans configurer l'émission automatique, ou vous pouvez configurer la gestion de l'approbation pour le protocole mTLS sans centraliser votre répertoire.

Présentation de l'architecture

Le schéma suivant montre comment ces composants interagissent les uns avec les autres :

Schéma d'architecture montrant les composants principaux de Certificate Manager (2e génération) et leurs interactions avec les ressources Google Cloud et les sources d'AC externes. — Architecture de Certificate Manager (2e génération) montrant les interactions entre les composants.

L'inventaire des certificats ajoute des certificats provenant du service CA et des ressources Google Cloud intégrées. Vous pouvez utiliser le tableau de bord "Vue d'ensemble" pour surveiller l'état des certificats et automatiser la gestion du cycle de vie en configurant les paramètres d'émission et de confiance. Les sections suivantes décrivent chaque composant en détail.

Observabilité des certificats

Certificate Manager (2e génération) surveille automatiquement votre environnement et remplit le répertoire de certificats à partir des sources suivantes :

Services Google Cloud intégrés : certificats utilisés par des services tels que l'identité de charge de travail gérée et Cloud Load Balancing (y compris les certificats importés et classiques).
Certificate Authority Service : certificats émis par vos pools d'autorités de certification privées.

Surveillance des certificats

Le tableau de bord "Vue d'ensemble" utilise les données du répertoire de certificats pour résumer l'état et la posture de sécurité de votre environnement. Vous pouvez utiliser le tableau de bord pour effectuer les tâches suivantes :

Identifier les certificats qui expirent : hiérarchisez les renouvellements en identifiant les certificats qui arrivent à expiration dans tous les services.
Auditer la stratégie de sécurité : surveillez la distribution des algorithmes cryptographiques et des longueurs de clé pour assurer la conformité avec les normes de sécurité.
Suivez les tendances d'émission : obtenez des insights sur l'utilisation et l'émission de certificats au fil du temps.

Gestion automatisée du cycle de vie des certificats

Vous pouvez automatiser la gestion de vos certificats en configurant les paramètres d'émission et de confiance :

Configurations d'émission : définissez des paramètres tels que la durée de vie, l'algorithme de clé et la période de rotation. Lorsqu'une configuration d'émission est associée à une ressource, Certificate Manager (2e génération) génère et renouvelle automatiquement le certificat.
Configurations de confiance : distribuez des ancres de confiance à vos applications pour sécuriser la communication de charge de travail à charge de travail à l'aide du protocole TLS mutuel (mTLS). Cette approche garantit que les applications n'approuvent que les certificats approuvés.