Questo documento descrive i componenti principali di Certificate Manager (2ª generazione.) e il modo in cui interagiscono con le tue Google Cloud risorse e le origini delle autorità di certificazione esterne.
Certificate Manager (2ª generazione.) ti consente di adottare le funzionalità in modo incrementale. Puoi iniziare monitorando l'inventario dei certificati esistente e poi aggiungere l'emissione automatica o la gestione dell'attendibilità man mano che le tue esigenze aumentano.
Componenti principali
Certificate Manager (2ª generazione.) ha i seguenti componenti principali:
- Directory dei certificati: un elenco unificato di tutti i certificati rilevati e caricati manualmente nel tuo progetto.
- Dashboard di panoramica: uno strumento di monitoraggio che riepiloga l'ambiente dei certificati, inclusi gli avvisi di scadenza e le tendenze di sicurezza.
- Configurazioni di emissione: criteri riutilizzabili che definiscono il modo in cui Certificate Manager (2ª generazione.) genera e gestisce i rinnovi automatici dei certificati.
- Configurazioni di attendibilità: definizioni per gli ancoraggi di attendibilità, come i certificati CA root, che i workload utilizzano per il protocollo mutual TLS (mTLS) per verificare le identità.
Panoramica dell'architettura
Il seguente diagramma mostra l'interazione tra questi componenti:
L'inventario dei certificati aggiunge i certificati da CA Service e dalle risorse integrate Google Cloud . Puoi utilizzare la dashboard di panoramica per monitorare l'integrità dei certificati e automatizzare la gestione del ciclo di vita configurando le impostazioni di emissione e attendibilità. Le sezioni seguenti descrivono ogni componente in dettaglio.
Osservabilità dei certificati
Certificate Manager (2ª generazione.) monitora automaticamente l'ambiente e popola la directory dei certificati dalle seguenti origini:
- Servizi Google Cloud integrati: certificati utilizzati da servizi come Workload Identity gestita e Cloud Load Balancing (inclusi i certificati caricati e classici).
- Certificate Authority Service: certificati emessi dai pool di CA private.
Monitoraggio dei certificati
La dashboard di panoramica utilizza i dati della directory dei certificati per riepilogare l'integrità e la postura di sicurezza del tuo ambiente. Puoi utilizzare la dashboard per eseguire le seguenti attività:
- Identificare i certificati in scadenza: dai la priorità ai rinnovi visualizzando i certificati in scadenza in tutti i servizi.
- Controllare la postura di sicurezza: monitora la distribuzione degli algoritmi crittografici e delle lunghezze delle chiavi per garantire la conformità agli standard di sicurezza.
- Monitorare le tendenze di emissione: ottieni informazioni sull'utilizzo e sull' emissione dei certificati nel tempo.
Gestione automatizzata del ciclo di vita dei certificati
Puoi automatizzare la gestione dei certificati configurando le impostazioni di emissione e attendibilità:
- Configurazioni di emissione: definisci parametri come durata, algoritmo della chiave, e finestra di rotazione. Quando una configurazione di emissione è associata a una risorsa, Certificate Manager (2ª generazione.) genera e rinnova automaticamente il certificato.
- Configurazioni di attendibilità: distribuisci gli ancoraggi di attendibilità alle tue applicazioni per proteggere la comunicazione da workload a workload utilizzando il protocollo mutual TLS (mTLS). Questo approccio garantisce che le applicazioni si fidino solo dei certificati approvati.
Passaggi successivi
- Confrontare le versioni di Certificate Manager
- Visualizzare la directory dei certificati
- Monitorare i certificati
- Creare una configurazione di emissione
- Creare una configurazione di attendibilità