Présentation de Certificate Manager (2e génération)

Certificate Manager (2e génération) est un Google Cloud service qui vous permet de centraliser la gestion, le déploiement et l'automatisation des certificats SSL/TLS dans votre organisation. Avec Certificate Manager (2nd gen), vous pouvez gérer les certificats de différents Google Cloud services, charges de travail personnalisées, et environnements sur site via une interface unique et centralisée.

Certificate Manager est principalement compatible avec les Google Cloud équilibreurs de charge, tandis que Certificate Manager (2e génération) est désormais compatible avec les charges de travail Google Kubernetes Engine (GKE), les instances Compute Engine et les environnements hybrides.

Pour comprendre les différences entre la première et la deuxième génération de Certificate Manager, consultez Comparer les versions de Certificate Manager.

Fonctionnalités de Certificate Manager (2e génération)

Certificate Manager (2e génération) vous permet d'effectuer les opérations suivantes :

  • Surveiller les certificats : utilisez la page Présentation de la Google Cloud console pour surveiller l'état des certificats, y compris les certificats actifs pour chacun de vos services, ceux qui arrivent à expiration et la distribution des algorithmes cryptographiques. Pour en savoir plus, consultez Surveiller les certificats.

  • Rechercher et découvrir des certificats : utilisez la page Certificats de la Google Cloud console pour afficher tous vos certificats, y compris ceux qui ne sont pas directement émis par Certificate Manager. Vous pouvez filtrer par type de ressource, état d'expiration et état de gestion. Pour en savoir plus, consultez Afficher le répertoire de certificats.

  • Automatiser les cycles de vie des certificats : contrôlez la génération et la rotation des Google Cloud certificats sur des ressources telles que les équilibreurs de charge et les Google Cloud charges de travail en définissant des stratégies à l'aide de configurations d'émission. Vous pouvez spécifier les paramètres suivants pour la rotation autogérée :

    • Durée de vie du certificat
    • Algorithme de clé
    • Fenêtre de rotation

    Pour en savoir plus, consultez Créer des configurations d'émission, Configurer la gestion du cycle de vie pour les équilibreurs de charge et Configurer la gestion du cycle de vie pour les charges de travail gérées.

  • Sécuriser la communication des charges de travail : définissez et distribuez des ancres de confiance, telles que les certificats d'autorité de certification racine et intermédiaire, pour vous assurer que les charges de travail ne font confiance qu'aux certificats autorisés. Pour en savoir plus, consultez Créer des configurations de confiance.

Services Google Cloud compatibles

Certificate Manager (2e génération) s'intègre directement à Certificate Authority Service et à Public CA pour simplifier la gestion des certificats privés et publics. Il est compatible avec les deux modèles d'intégration suivants :

  1. Certificate Manager (2e génération) gère automatiquement les certificats pour les services suivants :

    • Environnements compatibles avec les identités de charge de travail gérées
      • GKE : automatise l'émission et la rotation des certificats pour vos charges de travail GKE.
      • Compute Engine : automatise la gestion des certificats pour vos instances Compute Engine.
    • Cloud Load Balancing : Certificate Manager (2e génération) automatise le provisionnement et le renouvellement des certificats TLS pour Cloud Load Balancing à l'aide de configurations d'émission. Cette automatisation inclut la sécurisation de la communication TLS mutuel (mTLS) entre les équilibreurs de charge d'application et leurs backends.

  2. CA Service gère automatiquement les certificats pour les services suivants, et Certificate Manager (2e génération) les observe :

    • Environnements compatibles avec les identités d'agent
      • Vertex AI Agent Engine : gestion automatisée des certificats pour permettre l'authentification sécurisée auprès des API Google Cloud et tierces.
      • Gemini Enterprise : gestion automatisée des certificats pour les agents racines, les agents no-code et les agents gérés par Google au sein de la plate-forme Gemini Enterprise.
    • Cloud SQL : les instances Cloud SQL avec des certificats émis par votre autorité de certification s'affichent dans Certificate Manager (2e génération) pour l'observabilité et la gestion.
    • Secure Web Proxy : les proxys avec des certificats émis par votre autorité de certification s'affichent dans Certificate Manager (2e génération) pour l'observabilité et la gestion.
    • Cloud Service Mesh : les charges de travail GKE qui exploitent Cloud Service Mesh disposent de certificats que Certificate Manager (2e génération) observe et gère.
    • Autorité du plan de contrôle GKE : les clusters GKE qui utilisent une autorité de certification et des certificats personnalisés (à partir de CA Service) pour signer et vérifier les identifiants dans le plan de contrôle GKE disposent de certificats que Certificate Manager (2e génération) observe et gère.

Impact de Certificate Manager (2e génération) sur les API, gcloud CLI et Terraform

Certificate Manager (2e génération) introduit des fonctionnalités qui s'appuient à la fois sur les API existantes et sur la nouvelle API.

  • Certificate Manager (2e génération): les fonctionnalités de deuxième génération sont entièrement compatibles et gérables dans la Google Cloud console.
  • Certificate Manager : les API existantes ne sont pas obsolètes. Vous pouvez continuer à utiliser gcloud CLI, Terraform et les appels d'API HTTP directs pour interagir avec les fonctionnalités de première génération.

Certificate Manager (2e génération) utilise les espaces de noms d'API v1 et v2.

La liste suivante détaille la répartition des espaces de noms d'API pour chaque ressource :

  • v2 espace de noms : contient l'API des certificats observés (v2/projects.locations.observedCertificates)
  • v1 espace de noms : contient les API de gestion de base utilisées dans les deux générations :
    • API Certificate (v1/projects.locations.certificates)
    • API Certificate Map (v1/projects.locations.certificateMaps)
    • API Certificate Issuance Config (v1/projects.locations.certificateIssuanceConfigs)
    • API Trust Config (v1/projects.locations.trustConfigs)

Étape suivante