Ce document décrit les composants principaux de Certificate Manager (2e génération) et leur interaction avec vos Google Cloud ressources et les sources d'autorités de certification externes.
Le gestionnaire de certificats (2e génération) vous permet d'adopter des fonctionnalités de manière progressive. Vous pouvez commencer par surveiller votre inventaire de certificats existant, puis ajouter l'émission automatisée ou la gestion de la confiance à mesure que vos besoins augmentent.
Composants principaux
Le gestionnaire de certificats (2e génération) comporte les composants principaux suivants :
- Répertoire de certificats : liste unifiée de tous les certificats détectés et importés manuellement dans votre projet.
- Tableau de bord de présentation : outil de surveillance qui récapitule votre environnement de certificats, y compris les alertes d'expiration et les tendances en matière de sécurité.
- Configurations d'émission : règles réutilisables qui définissent comment le gestionnaire de certificats (2e génération) génère et gère les renouvellements de certificats automatisés.
- Configurations de confiance : définitions des ancres de confiance, telles que les certificats d'autorité de certification racine, que les charges de travail utilisent pour le protocole TLS mutuel (mTLS) afin de valider les identités.
Présentation de l'architecture
Le schéma suivant montre comment ces composants interagissent entre eux :
L'inventaire de certificats ajoute des certificats à partir du service CA et des ressources intégrées Google Cloud . Vous pouvez utiliser le tableau de bord de présentation pour surveiller l'état des certificats et automatiser la gestion du cycle de vie en configurant les paramètres d'émission et de confiance. Les sections suivantes décrivent chaque composant en détail.
Observabilité des certificats
Le gestionnaire de certificats (2e génération) surveille automatiquement votre environnement et remplit le répertoire de certificats à partir des sources suivantes :
- Services Google Cloud intégrés : certificats utilisés par des services tels que l'identité de charge de travail gérée et Cloud Load Balancing (y compris les certificats importés et classiques).
- Certificate Authority Service : certificats émis par vos pools d'autorités de certification privées.
Surveillance des certificats
Le tableau de bord de présentation utilise les données du répertoire de certificats pour récapituler l'état et la posture de sécurité de votre environnement. Vous pouvez utiliser le tableau de bord pour effectuer les tâches suivantes :
- Identifier les certificats expirés : hiérarchiser les renouvellements en identifiant les certificats qui arrivent à expiration dans tous les services.
- Auditer la posture de sécurité : surveiller la distribution des algorithmes de chiffrement et des longueurs de clé pour garantir la conformité aux normes de sécurité.
- Suivre les tendances d'émission : obtenir des insights sur l'utilisation et l' émission des certificats au fil du temps.
Gestion automatisée du cycle de vie des certificats
Vous pouvez automatiser la gestion de vos certificats en configurant les paramètres d'émission et de confiance :
- Configurations d'émission : définissez des paramètres tels que la durée de vie, l'algorithme de clé, et la fenêtre de rotation. Lorsqu'une configuration d'émission est associée à une ressource, Certificate Manager (2e génération) génère et renouvelle automatiquement le certificat.
- Configurations de confiance : distribuez des ancres de confiance à vos applications pour sécuriser la communication entre les charges de travail à l’aide du protocole TLS mutuel (mTLS). Cette approche garantit que les applications ne font confiance qu'aux certificats approuvés.
Étape suivante
- Comparer les versions de Certificate Manager
- Afficher le répertoire de certificats
- Surveiller vos certificats
- Créer une configuration d'émission
- Créer une configuration de confiance