Panoramica di Certificate Manager (2ª generazione.)

Certificate Manager (2ª generazione.) è un servizio Google Cloud che ti consente di centralizzare la gestione, il deployment e l'automazione dei certificati SSL/TLS nella tua organizzazione. Con Certificate Manager (2ª generazione.), puoi gestire i certificati per vari servizi Google Cloud , workload personalizzati e ambienti on-premise tramite un'unica interfaccia centralizzata.

Certificate Manager supporta principalmente i bilanciatori del carico, mentre Certificate Manager (2ª generazione.) ha ampliato il supporto per i workload Google Kubernetes Engine (GKE), le istanze Compute Engine e gli ambienti ibridi.Google Cloud

Per comprendere le differenze tra la prima e la seconda generazione di Certificate Manager, consulta Confrontare le versioni di Certificate Manager.

Funzionalità di Certificate Manager (2ª generazione.)

Certificate Manager (2ª generazione.) ti consente di:

  • Monitorare i certificati: utilizza la pagina Panoramica nella consoleGoogle Cloud per monitorare l'integrità dei certificati, inclusi i certificati attivi per ciascuno dei tuoi servizi, quelli in scadenza e la distribuzione degli algoritmi crittografici. Per saperne di più, consulta Monitorare i certificati.

  • Cerca e scopri i certificati: utilizza la pagina Certificati nella console Google Cloud per visualizzare tutti i tuoi certificati, inclusi quelli non emessi direttamente da Certificate Manager. Puoi filtrare per tipo di risorsa, stato di scadenza e stato di gestione. Per saperne di più, vedi Visualizzare la directory dei certificati.

  • Automatizza i cicli di vita dei certificati: controlla la generazione e la rotazione dei certificati sulle risorse Google Cloud come i bilanciatori del carico e sui workloadGoogle Cloud definendo le policy utilizzando le configurazioni di emissione. Puoi specificare le seguenti impostazioni per la rotazione gestita automaticamente:

    • Durata del certificato
    • Algoritmo chiave
    • Finestra di rotazione

    Per saperne di più, consulta Creare configurazioni di emissione, Configurare la gestione del ciclo di vita per i bilanciatori del carico e Configurare la gestione del ciclo di vita per i workload gestiti.

  • Comunicazione sicura dei workload: definisci e distribuisci i trust anchor, come i certificati CA radice e intermedi, per garantire che i workload si fidino solo dei certificati autorizzati. Per saperne di più, vedi Creare configurazioni di attendibilità.

Servizi Google Cloud supportati

Certificate Manager (2ª generazione.) si integra direttamente con Certificate Authority Service e con Public CA per semplificare la gestione dei certificati privati e pubblici. Supporta i seguenti due modelli di integrazione:

  1. Certificate Manager (2ª generazione.) gestisce automaticamente i certificati per i seguenti servizi:

    • Ambienti abilitati per l'identità del workload gestita:
      • GKE: automatizza l'emissione e la rotazione dei certificati per i carichi di lavoro GKE.
      • Compute Engine:automatizza la gestione dei certificati per le istanze Compute Engine.
    • Cloud Load Balancing: Certificate Manager (2ª generazione.) automatizza il provisioning e il rinnovo dei certificati TLS per Cloud Load Balancing utilizzando le configurazioni di emissione. Questa automazione include la protezione della comunicazione TLS reciproca (mTLS) tra i bilanciatori del carico delle applicazioni e i relativi backend.

  2. CA Service gestisce automaticamente i certificati per i seguenti servizi e Certificate Manager (2ª generazione.) li osserva:

    • Ambienti abilitati all'identità dell'agente:
      • Vertex AI Agent Engine: gestione automatizzata dei certificati per consentire l'autenticazione sicura alle API di Google Cloud e terze parti.
      • Gemini Enterprise: gestione automatizzata dei certificati per gli agenti root, gli agenti no-code e gli agenti gestiti da Google all'interno della piattaforma Gemini Enterprise.
    • Cloud SQL:le istanze Cloud SQL con certificati emessi dal tuo servizio CA vengono visualizzate in Certificate Manager (2ª generazione.) per l'osservabilità e la gestione.
    • Secure Web Proxy:i proxy con certificati emessi dal tuo servizio CA vengono visualizzati in Certificate Manager (2ª generazione.) per l'osservabilità e la gestione.
    • Cloud Service Mesh: i workload GKE che sfruttano Cloud Service Mesh hanno certificati che Certificate Manager (2ª generazione.) osserva e gestisce.
    • GKE control plane authority:i cluster GKE che utilizzano CA e certificati personalizzati (da CA Service) per firmare e verificare le credenziali all'interno del control plane GKE hanno certificati che Certificate Manage2ª generazionegen.) osserva e gestisce.

Impatto di Certificate Manager (2ª generazione.) su API, gcloud CLI e Terraform

Certificate Manager (2ª generazione.) introduce funzionalità basate sia sulle API esistenti sia sulla nuova API.

  • Certificate Manager (2ª generazione.): le funzionalità di seconda generazione sono completamente supportate e gestibili nella console Google Cloud .
  • Certificate Manager: le API esistenti non sono deprecate. Puoi continuare a utilizzare gcloud CLI, Terraform e chiamate API HTTP dirette per interagire con le funzionalità di prima generazione.

Certificate Manager (2ª generazione.) utilizza gli spazi dei nomi delle API v1 e v2.

Il seguente elenco descrive in dettaglio la suddivisione dello spazio dei nomi API per ogni risorsa:

  • Spazio dei nomi v2: contiene l'API Observed Certificates (v2/projects.locations.observedCertificates)
  • Spazio dei nomi v1: contiene le API di gestione principali utilizzate in entrambe le generazioni:
    • API Certificate (v1/projects.locations.certificates)
    • API Certificate Map (v1/projects.locations.certificateMaps)
    • API Certificate Issuance Config (v1/projects.locations.certificateIssuanceConfigs)
    • API Trust Config (v1/projects.locations.trustConfigs)

Passaggi successivi