Zertifikatmanager (2. Generation) – Übersicht

Zertifikatmanager (2. Generation) ist ein Google Cloud Dienst, mit dem Sie die Verwaltung, Bereitstellung und Automatisierung von SSL/TLS-Zertifikaten in Ihrem gesamten Unternehmen zentralisieren können. Mit Certificate Manager (2nd gen) können Sie Zertifikate für verschiedene Google Cloud Dienste, benutzerdefinierte Arbeitslasten, und lokale Umgebungen über eine einzige, zentrale Schnittstelle verwalten.

Zertifikatmanager unterstützt hauptsächlich Google Cloud Load Balancer, während Zertifikatmanager (2. Generation) die Unterstützung für Google Kubernetes Engine-Arbeitslasten (GKE), Compute Engine Instanzen und Hybridumgebungen erweitert hat.

Informationen zu den Unterschieden zwischen der ersten und zweiten Generation von Zertifikatmanager finden Sie unter Zertifikatmanager Versionen vergleichen.

Funktionen von Zertifikatmanager (2. Generation)

Mit Zertifikatmanager (2. Generation) können Sie Folgendes tun:

  • Zertifikate überwachen: Auf der Seite Übersicht in der Google Cloud Console können Sie den Zustand von Zertifikaten überwachen, einschließlich aktiver Zertifikate für jeden Ihrer Dienste, Zertifikate, die bald ablaufen, und die Verteilung kryptografischer Algorithmen. Weitere Informationen finden Sie unter Zertifikate überwachen.

  • Zertifikate suchen und finden:Auf der Seite Zertifikate in der Google Cloud Console können Sie alle Ihre Zertifikate ansehen, einschließlich der Zertifikate, die nicht direkt vom Zertifikatmanager ausgestellt wurden. Sie können nach Ressourcentyp, Ablaufstatus und Verwaltungsstatus filtern. Weitere Informationen finden Sie unter Zertifikatverzeichnis ansehen.

  • Zertifikatslebenszyklen automatisieren: Sie können die Zertifikatsgenerierung und rotation für Google Cloud Ressourcen wie Load Balancer und Google Cloud Arbeitslasten steuern, indem Sie Richtlinien mithilfe von Ausstellungskonfigurationen definieren. Sie können die folgenden Einstellungen für die automatisch verwaltete Rotation angeben:

    • Lebensdauer des Zertifikats
    • Schlüsselalgorithmus
    • Rotationsfenster

    Weitere Informationen finden Sie unter Ausstellungs-Konfigurationen erstellen, Lebenszyklusverwaltung für Load Balancer konfigurieren und Lebenszyklusverwaltung für verwaltete Arbeitslasten konfigurieren.

  • Arbeitslastkommunikation sichern: Definieren und verteilen Sie Vertrauensanker, wie die Root- und Intermediate-CA-Zertifikate, um sicherzustellen, dass Arbeitslasten nur autorisierten Zertifikaten vertrauen. Weitere Informationen finden Sie unter Vertrauens konfigurationen erstellen.

Unterstützte Google Cloud Dienste

Zertifikatmanager (2. Generation) lässt sich direkt in den Certificate Authority Service und Public CA integrieren, um die Verwaltung von privaten und öffentlichen Zertifikaten zu vereinfachen. Es werden die folgenden beiden Integrationsmodelle unterstützt:

  1. Zertifikatmanager (2. Generation) verwaltet Zertifikate automatisch für die folgenden Dienste:

    • Umgebungen mit aktivierter verwalteter Arbeitslastidentität:
      • GKE:Automatisiert die Zertifikatsausstellung und -rotation für Ihre GKE-Arbeitslasten.
      • Compute Engine:Automatisiert die Zertifikatsverwaltung für Ihre Compute Engine-Instanzen.
    • Cloud Load Balancing:Zertifikatmanager (2. Generation) automatisiert die Bereitstellung und Verlängerung von TLS-Zertifikaten für Cloud Load Balancing mithilfe von Ausstellungs-Konfigurationen. Diese Automatisierung umfasst die Sicherung der gegenseitigen TLS-Kommunikation (mTLS) zwischen Application Load Balancern und ihren Back-Ends.

  2. Der CA Service verwaltet Zertifikate automatisch für die folgenden Dienste und Zertifikatmanager (2. Generation) beobachtet sie:

    • Umgebungen mit aktivierter Agent-Identität:
      • Vertex AI Agent Engine:Automatisierte Zertifikats verwaltung zur sicheren Authentifizierung bei Google Cloud und APIs von Drittanbietern.
      • Gemini Enterprise:Automatisierte Zertifikatsverwaltung für Root-Agents, No-Code-Agents und von Google verwaltete Agents in der Gemini Enterprise-Plattform.
    • Cloud SQL:Cloud SQL-Instanzen mit Zertifikaten, die von Ihrem CA Service ausgestellt wurden, werden in Zertifikatmanager (2. Generation) zur Beobachtung und Verwaltung angezeigt.
    • Secure Web Proxy:Proxys mit Zertifikaten, die von Ihrem CA Service ausgestellt wurden, werden in Zertifikatmanager (2. Generation) zur Beobachtbarkeit und Verwaltung angezeigt.
    • Cloud Service Mesh:GKE-Arbeitslasten, die Cloud Service Mesh verwenden, haben Zertifikate, die von Zertifikatmanager (2. Generation) beobachtet und verwaltet werden.
    • GKE Control Plane Authority:GKE-Cluster, die benutzerdefinierte Zertifizierungsstellen und Zertifikate (vom CA Service) verwenden, um Anmeldedaten innerhalb der GKE-Steuerungsebene zu signieren und zu prüfen, haben Zertifikate, die vom Zertifikatmanager (2. Generation) beobachtet und verwaltet werden.

Auswirkungen von Zertifikatmanager (2. Generation) auf APIs, die gcloud CLI und Terraform

Zertifikatmanager (2. Generation) führt Funktionen ein, die sowohl auf vorhandenen als auch auf der neuen API basieren.

  • Certificate Manager (2nd gen): Funktionen der zweiten Generation werden in der Console vollständig unterstützt und können dort verwaltet werden. Google Cloud
  • Zertifikatmanager: Vorhandene APIs werden nicht eingestellt. Sie können weiterhin die gcloud CLI, Terraform und direkte HTTP-API-Aufrufe verwenden, um mit Funktionen der ersten Generation zu interagieren.

Zertifikatmanager (2. Generation) verwendet sowohl die v1- als auch die v2-API-Namespaces.

In der folgenden Liste ist die Aufschlüsselung der API-Namespaces für jede Ressource aufgeführt:

  • v2-Namespace: Enthält die API für beobachtete Zertifikate (v2/projects.locations.observedCertificates)
  • v1 -Namespace: Enthält die wichtigsten Verwaltungs-APIs, die in beiden Generationen verwendet werden:
    • Certificate API (v1/projects.locations.certificates)
    • Certificate Map API (v1/projects.locations.certificateMaps)
    • Certificate Issuance Config API (v1/projects.locations.certificateIssuanceConfigs)
    • Trust Config API (v1/projects.locations.trustConfigs)

Nächste Schritte