Este documento descreve os principais componentes do Certificate Manager (2ª geração) e como eles interagem com seus recursos do Google Cloud e fontes externas de autoridade certificadora.
Com o Certificate Manager (2ª geração), é possível adotar recursos de forma incremental. Comece monitorando seu inventário de certificados atual e adicione emissão automática ou gerenciamento de confiança à medida que suas necessidades aumentam.
Principais componentes
O Certificate Manager (2ª geração) tem os seguintes componentes principais:
- Diretório de certificados: uma lista unificada de todos os certificados detectados e enviados manualmente no seu projeto.
- Painel de visão geral: uma ferramenta de monitoramento que resume seu ambiente de certificado, incluindo alertas de expiração e tendências de segurança.
- Configurações de emissão: políticas reutilizáveis que definem como o Certificate Manager (2ª geração) gera e gerencia renovações automáticas de certificados.
- Configurações de confiança: definições para âncoras de confiança, como certificados de CA raiz, que as cargas de trabalho usam para TLS mútuo (mTLS) e verificar identidades.
Informações gerais da arquitetura
O diagrama a seguir mostra como esses componentes interagem entre si:
O inventário de certificados adiciona certificados do serviço de CA e recursos integrados do Google Cloud . Use o painel de visão geral para monitorar a integridade do certificado e automatizar o gerenciamento do ciclo de vida configurando as configurações de emissão e confiança. As seções a seguir descrevem cada componente em detalhes.
Observabilidade de certificados
O Certificate Manager (2ª geração) monitora automaticamente seu ambiente e preenche o diretório de certificados com base nas seguintes fontes:
- Serviços Google Cloud integrados: certificados usados por serviços como identidade gerenciada da carga de trabalho e Cloud Load Balancing (incluindo certificados enviados e clássicos).
- Certificate Authority Service: certificados emitidos pelos seus pools de CA particulares.
Monitoramento de certificados
O painel de visão geral usa os dados do diretório de certificados para resumir a integridade e a postura de segurança do seu ambiente. Use o painel para realizar as seguintes tarefas:
- Identifique certificados expirando: priorize as renovações verificando quais certificados estão perto do vencimento em todos os serviços.
- Auditoria da postura de segurança: monitore a distribuição de algoritmos criptográficos e tamanhos de chaves para garantir a conformidade com os padrões de segurança.
- Acompanhar tendências de emissão: tenha insights sobre o uso e a emissão de certificados ao longo do tempo.
Gerenciamento automatizado do ciclo de vida do certificado
É possível automatizar o gerenciamento dos seus certificados configurando as definições de emissão e confiança:
- Configurações de emissão: defina parâmetros como ciclo de vida, algoritmo de chave e janela de rotação. Quando uma configuração de emissão é associada a um recurso, o Certificate Manager (2ª geração) gera e renova automaticamente o certificado.
- Configurações de confiança: distribua âncoras de confiança aos seus aplicativos para proteger a comunicação entre cargas de trabalho usando TLS mútuo (mTLS). Essa abordagem garante que os aplicativos confiem apenas em certificados aprovados.
A seguir
- Comparar versões do Certificate Manager
- Ver diretório de certificados
- Monitorar seus certificados
- Criar uma configuração de emissão
- Criar configuração de confiança