Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Cara kerja Certificate Manager (generasi ke-2)

Dokumen ini menjelaskan komponen inti Certificate Manager (generasi ke-2) dan cara komponen tersebut berinteraksi dengan resource Anda dan sumber otoritas sertifikat eksternal. Google Cloud

Certificate Manager (generasi ke-2) memungkinkan Anda mengadopsi fitur secara bertahap. Anda dapat mulai dengan memantau inventaris sertifikat yang ada, lalu menambahkan penerbitan otomatis atau pengelolaan kepercayaan saat kebutuhan Anda bertambah.

Komponen inti

Certificate Manager (generasi ke-2) memiliki komponen inti berikut:

Direktori sertifikat: Daftar terpadu dari semua sertifikat yang terdeteksi dan diupload secara manual di project Anda.
Dasbor ringkasan: Alat pemantauan yang meringkas lingkungan sertifikat Anda, termasuk pemberitahuan masa berlaku dan tren keamanan.
Konfigurasi penerbitan: Kebijakan yang dapat digunakan kembali yang menentukan cara Certificate Manager (generasi ke-2) membuat dan mengelola perpanjangan sertifikat otomatis.
Konfigurasi kepercayaan: Definisi untuk anchor kepercayaan, seperti sertifikat CA root, yang digunakan workload untuk TLS (mTLS) timbal balik guna memverifikasi identitas.

Ringkasan arsitektur

Diagram berikut menunjukkan cara komponen ini berinteraksi satu sama lain:

Diagram arsitektur yang menunjukkan komponen inti Certificate Manager (generasi ke-2) dan interaksinya dengan resource cloud Google serta sumber CA eksternal. — Arsitektur Certificate Manager (generasi ke-2) yang menunjukkan interaksi komponen.

Inventaris sertifikat menambahkan sertifikat dari CA Service dan resource terintegrasi Google Cloud . Anda dapat menggunakan dasbor ringkasan untuk memantau kondisi sertifikat, dan mengotomatiskan pengelolaan siklus proses dengan mengonfigurasi setelan penerbitan dan kepercayaan. Bagian berikut menjelaskan setiap komponen secara mendetail.

Observabilitas sertifikat

Certificate Manager (generasi ke-2) secara otomatis memantau lingkungan Anda dan mengisi direktori sertifikat dari sumber berikut:

Layanan Google Cloud terintegrasi: Sertifikat yang digunakan oleh layanan seperti identitas workload terkelola dan Cloud Load Balancing (termasuk sertifikat yang diupload dan klasik).
Certificate Authority Service: Sertifikat yang diterbitkan oleh kumpulan CA pribadi Anda.

Pemantauan sertifikat

Dasbor ringkasan menggunakan data dari direktori sertifikat untuk meringkas kondisi dan postur keamanan lingkungan Anda. Anda dapat menggunakan dasbor untuk melakukan tugas berikut:

Mengidentifikasi sertifikat yang akan berakhir masa berlakunya: Memprioritaskan perpanjangan dengan melihat sertifikat mana yang akan berakhir masa berlakunya di semua layanan.
Mengaudit postur keamanan: Memantau distribusi algoritma kriptografi dan panjang kunci untuk memastikan kepatuhan terhadap standar keamanan.
Melacak tren penerbitan: Mendapatkan insight tentang penggunaan dan penerbitan sertifikat dari waktu ke waktu.

Pengelolaan siklus proses sertifikat otomatis

Anda dapat mengotomatiskan pengelolaan sertifikat dengan mengonfigurasi setelan penerbitan dan kepercayaan:

Konfigurasi penerbitan: Menentukan parameter seperti masa aktif, algoritma kunci, dan periode rotasi. Saat konfigurasi penerbitan dikaitkan dengan resource, Certificate Manager (generasi ke-2) akan otomatis membuat dan memperpanjang sertifikat.
Konfigurasi kepercayaan: Mendistribusikan anchor kepercayaan ke aplikasi Anda untuk mengamankan komunikasi workload-ke-workload menggunakan TLS (mTLS) timbal balik. Pendekatan ini memastikan aplikasi hanya mempercayai sertifikat yang disetujui.