Certificate Manager (generasi ke-2) adalah Google Cloud layanan yang memungkinkan Anda memusatkan pengelolaan, deployment, dan otomatisasi sertifikat SSL/TLS di seluruh organisasi. Dengan Certificate Manager (generasi ke-2), Anda dapat mengelola sertifikat untuk berbagai Google Cloud layanan, workload kustom, dan lingkungan lokal melalui satu antarmuka terpusat.
Certificate Manager terutama mendukung Google Cloud load balancer, sedangkan Certificate Manager (generasi ke-2) telah memperluas dukungan untuk workload Google Kubernetes Engine (GKE), instance Compute Engine dan lingkungan hybrid.
Untuk memahami perbedaan antara Certificate Manager generasi pertama dan kedua, lihat Membandingkan versi Certificate Manager.
Fitur Certificate Manager (generasi ke-2)
Dengan Certificate Manager (generasi ke-2), Anda dapat melakukan hal berikut:
Memantau sertifikat: Gunakan halaman Ringkasan di Google Cloud konsol untuk memantau status sertifikat, termasuk sertifikat aktif untuk setiap layanan Anda, sertifikat yang akan segera berakhir masa berlakunya, dan distribusi algoritma kriptografi. Untuk mengetahui informasi selengkapnya, lihat Memantau sertifikat.
Menelusuri dan menemukan sertifikat: Gunakan halaman Sertifikat di Google Cloud konsol untuk melihat semua sertifikat Anda, termasuk sertifikat yang tidak langsung diterbitkan oleh Certificate Manager. Anda dapat memfilter menurut jenis resource, status masa berlaku, dan status pengelolaan. Untuk mengetahui informasi selengkapnya, lihat Melihat direktori sertifikat.
Mengotomatiskan siklus proses sertifikat: Mengontrol pembuatan dan rotasi di Google Cloud resource seperti load balancer, dan Google Cloud workload dengan menentukan kebijakan menggunakan konfigurasi penerbitan. Anda dapat menentukan setelan berikut untuk rotasi yang dikelola otomatis:
- Masa berlaku sertifikat
- Algoritma kunci
- Periode rotasi
Untuk mengetahui informasi selengkapnya, lihat Membuat konfigurasi penerbitan, Mengonfigurasi pengelolaan siklus proses untuk load balancer, dan Mengonfigurasi pengelolaan siklus proses untuk workload terkelola.
Mengamankan komunikasi workload: Menentukan dan mendistribusikan trust anchor, seperti sertifikat CA root dan perantara, untuk memastikan workload hanya mempercayai sertifikat yang diotorisasi. Untuk mengetahui informasi selengkapnya, lihat Membuat konfigurasi kepercayaan.
Layanan yang didukung Google Cloud
Certificate Manager (generasi ke-2) terintegrasi langsung dengan Certificate Authority Service dan CA Publik untuk menyederhanakan pengelolaan sertifikat pribadi dan publik. Layanan ini mendukung dua model integrasi berikut:
Certificate Manager (generasi ke-2) mengelola sertifikat secara otomatis untuk layanan berikut:
- Lingkungan yang mengaktifkan workload identity terkelola:
- GKE: Mengotomatiskan penerbitan dan rotasi sertifikat untuk workload GKE Anda.
- Compute Engine: Mengotomatiskan pengelolaan sertifikat untuk instance Compute Engine Anda.
- Cloud Load Balancing: Certificate Manager (generasi ke-2) mengotomatiskan penyediaan dan perpanjangan sertifikat TLS untuk Cloud Load Balancing menggunakan konfigurasi penerbitan. Otomatisasi ini mencakup pengamanan komunikasi TLS timbal balik (mTLS) antara Application Load Balancer dan backend-nya.
- Lingkungan yang mengaktifkan workload identity terkelola:
CA Service mengelola sertifikat secara otomatis untuk layanan berikut, dan Certificate Manager (generasi ke-2) mengamatinya:
- Lingkungan yang mengaktifkan Identitas Agen:
- Runtime Agen: Pengelolaan sertifikat otomatis untuk mengaktifkan autentikasi yang aman ke API pihak pertama dan pihak ketiga. Google Cloud
- Gemini Enterprise: Pengelolaan sertifikat otomatis untuk agen root, agen tanpa kode, dan agen yang dikelola Google di dalam platform Gemini Enterprise.
- Cloud SQL: Instance Cloud SQL dengan sertifikat yang diterbitkan oleh CA Service Anda muncul di Certificate Manager (generasi ke-2) untuk observasi dan pengelolaan.
- Secure Web Proxy: Proxy dengan sertifikat yang diterbitkan oleh CA Service Anda muncul di Certificate Manager (generasi ke-2) untuk observasi dan pengelolaan.
- Cloud Service Mesh: Workload GKE yang memanfaatkan Cloud Service Mesh memiliki sertifikat yang diamati dan dikelola oleh Certificate Manager (generasi ke-2).
- Otoritas bidang kontrol GKE: Cluster GKE yang menggunakan CA dan sertifikat kustom (dari CA Service) untuk menandatangani dan memverifikasi kredensial dalam bidang kontrol GKE memiliki sertifikat yang diamati dan dikelola oleh Certificate Manager (generasi ke-2).
- Lingkungan yang mengaktifkan Identitas Agen:
Dampak Certificate Manager (generasi ke-2) terhadap API, gcloud CLI, dan Terraform
Certificate Manager (generasi ke-2) memperkenalkan fitur yang dibangun berdasarkan API yang ada dan API baru.
- Certificate Manager (generasi ke-2): Fitur generasi kedua didukung sepenuhnya dan dapat dikelola di Google Cloud konsol.
- Certificate Manager: API yang ada tidak digunakan lagi. Anda dapat terus menggunakan gcloud CLI, Terraform, dan panggilan HTTP API langsung untuk berinteraksi dengan fitur generasi pertama.
Certificate Manager (generasi ke-2) menggunakan namespace API v1 dan v2.
Daftar berikut menjelaskan perincian namespace API untuk setiap resource:
v2namespace: Berisi Observed Certificates API (v2/projects.locations.observedCertificates)v1Namespace: Berisi API pengelolaan inti yang digunakan di kedua generasi:- Certificate API (
v1/projects.locations.certificates) - Certificate Map API (
v1/projects.locations.certificateMaps) - Certificate Issuance Config API
(
v1/projects.locations.certificateIssuanceConfigs) - Trust Config API (
v1/projects.locations.trustConfigs)
- Certificate API (
Langkah berikutnya
- Cara kerja Certificate Manager (generasi ke-2)
- Membandingkan versi Certificate Manager
- Menerbitkan sertifikat menggunakan CA Service dan memverifikasi di Certificate Manager (generasi ke-2)
- Mengotomatiskan siklus proses sertifikat untuk load balancer
- Peran dan izin