Fonctionnement de Certificate Manager (2e génération)

Ce document décrit les composants principaux de Certificate Manager (2e génération) et leur interaction avec vos Google Cloud ressources et les sources d'autorités de certification externes.

Le gestionnaire de certificats (2e génération) vous permet d'adopter des fonctionnalités de manière progressive. Vous pouvez commencer par surveiller votre inventaire de certificats existant, puis ajouter l'émission automatisée ou la gestion de la confiance à mesure que vos besoins augmentent.

Composants principaux

Le gestionnaire de certificats (2e génération) comporte les composants principaux suivants :

  • Répertoire de certificats : liste unifiée de tous les certificats détectés et importés manuellement dans votre projet.
  • Tableau de bord de présentation : outil de surveillance qui récapitule votre environnement de certificats, y compris les alertes d'expiration et les tendances en matière de sécurité.
  • Configurations d'émission : règles réutilisables qui définissent comment le gestionnaire de certificats (2e génération) génère et gère les renouvellements de certificats automatisés.
  • Configurations de confiance : définitions des ancres de confiance, telles que les certificats d'autorité de certification racine, que les charges de travail utilisent pour le protocole TLS mutuel (mTLS) afin de valider les identités.

Présentation de l'architecture

Le schéma suivant montre comment ces composants interagissent entre eux :

Schéma d'architecture montrant les composants principaux de Certificate Manager (2e génération) et leurs interactions avec les ressources Google Cloud et les sources d'AC externes.
Architecture de Certificate Manager (2e génération) montrant les interactions entre les composants.

L'inventaire de certificats ajoute des certificats à partir du service CA et des ressources intégrées Google Cloud . Vous pouvez utiliser le tableau de bord de présentation pour surveiller l'état des certificats et automatiser la gestion du cycle de vie en configurant les paramètres d'émission et de confiance. Les sections suivantes décrivent chaque composant en détail.

Observabilité des certificats

Le gestionnaire de certificats (2e génération) surveille automatiquement votre environnement et remplit le répertoire de certificats à partir des sources suivantes :

  • Services Google Cloud intégrés : certificats utilisés par des services tels que l'identité de charge de travail gérée et Cloud Load Balancing (y compris les certificats importés et classiques).
  • Certificate Authority Service : certificats émis par vos pools d'autorités de certification privées.

Surveillance des certificats

Le tableau de bord de présentation utilise les données du répertoire de certificats pour récapituler l'état et la posture de sécurité de votre environnement. Vous pouvez utiliser le tableau de bord pour effectuer les tâches suivantes :

  • Identifier les certificats expirés : hiérarchiser les renouvellements en identifiant les certificats qui arrivent à expiration dans tous les services.
  • Auditer la posture de sécurité : surveiller la distribution des algorithmes de chiffrement et des longueurs de clé pour garantir la conformité aux normes de sécurité.
  • Suivre les tendances d'émission : obtenir des insights sur l'utilisation et l' émission des certificats au fil du temps.

Gestion automatisée du cycle de vie des certificats

Vous pouvez automatiser la gestion de vos certificats en configurant les paramètres d'émission et de confiance :

  • Configurations d'émission : définissez des paramètres tels que la durée de vie, l'algorithme de clé, et la fenêtre de rotation. Lorsqu'une configuration d'émission est associée à une ressource, Certificate Manager (2e génération) génère et renouvelle automatiquement le certificat.
  • Configurations de confiance : distribuez des ancres de confiance à vos applications pour sécuriser la communication entre les charges de travail à l’aide du protocole TLS mutuel (mTLS). Cette approche garantit que les applications ne font confiance qu'aux certificats approuvés.

Étape suivante