Certificate Manager（第 2 世代）の概要

Certificate Manager（第 2 世代）は、組織全体で SSL/TLS 証明書の管理、デプロイ、自動化を一元化できる Google Cloud サービスです。Certificate Manager（第 2 世代）を使用すると、単一の一元管理されたインターフェースを介して、さまざまな Google Cloud サービス、カスタム ワークロード、オンプレミス環境の証明書を管理できます。

Certificate Manager は主にGoogle Cloud ロードバランサをサポートしますが、Certificate Manager（第 2 世代）は Google Kubernetes Engine（GKE）ワークロード、Compute Engine インスタンス、ハイブリッド環境のサポートを拡大しています。

Certificate Manager の第 1 世代と第 2 世代の違いについては、Certificate Manager のバージョンを比較するをご覧ください。

Certificate Manager（第 2 世代）の機能

Certificate Manager（第 2 世代）では、次のことができます。

• 証明書をモニタリングする:Google Cloud コンソールの [概要] ページを使用して、各サービスの有効な証明書、有効期限が近づいている証明書、暗号アルゴリズムの分布など、証明書の健全性をモニタリングします。詳細については、証明書をモニタリングするをご覧ください。

• 証明書を検索して検出する: Google Cloud コンソールの [証明書] ページを使用して、Certificate Manager によって直接発行されていない証明書を含む、すべての証明書を表示します。リソースタイプ、有効期限のステータス、管理ステータスでフィルタできます。詳細については、証明書ディレクトリを表示するをご覧ください。

• 証明書のライフサイクルを自動化する: 発行構成を使用してポリシーを定義することで、ロードバランサなどの Google Cloud リソースとGoogle Cloud ワークロードの証明書の生成とローテーションを制御します。自動管理ローテーションには、次の設定を指定できます。

  • 証明書の有効期間
  • 鍵アルゴリズム
  • ローテーション期間

  詳細については、発行構成を作成する、ロードバランサのライフサイクル管理を構成する、マネージド ワークロードのライフサイクル管理を構成するをご覧ください。

• ワークロード通信の保護: ルート CA 証明書や中間 CA 証明書などの信頼アンカーを定義して配布し、ワークロードが承認された証明書のみを信頼するようにします。詳細については、信頼構成を作成するをご覧ください。

サポート対象の Google Cloud サービス

Certificate Manager（第 2 世代）は、Certificate Authority Service と Public CA に直接統合されており、プライベート証明書と一般公開証明書の両方の管理を簡素化します。次の 2 つの統合モデルをサポートしています。

1. Certificate Manager（第 2 世代）は、次のサービスの証明書を自動的に管理します。

   • マネージド ワークロード ID が有効になっている環境:
     • GKE: GKE ワークロードの証明書の発行とローテーションを自動化します。
     • Compute Engine: Compute Engine インスタンスの証明書管理を自動化します。
   • Cloud Load Balancing: Certificate Manager（第 2 世代）は、発行構成を使用して、Cloud Load Balancing の TLS 証明書のプロビジョニングと更新を自動化します。この自動化には、アプリケーション ロードバランサとそのバックエンド間の相互 TLS（mTLS）通信の保護が含まれます。

2. CA Service は、次のサービスの証明書を自動的に管理し、Certificate Manager（第 2 世代）はそれらをモニタリングします。

   • エージェント ID が有効になっている環境:
     • Vertex AI Agent Engine: Google Cloud とサードパーティ API への安全な認証を可能にする自動証明書管理。
     • Gemini Enterprise: Gemini Enterprise プラットフォーム内のルート エージェント、ノーコード エージェント、Google マネージド エージェントの証明書管理を自動化します。
   • Cloud SQL: CA Service によって発行された証明書を含む Cloud SQL インスタンスは、オブザーバビリティと管理のために Certificate Manager（第 2 世代）に表示されます。
   • Secure Web Proxy: CA Service によって発行された証明書を持つプロキシが、オブザーバビリティと管理のために Certificate Manager（第 2 世代）に表示されます。
   • Cloud Service Mesh: Cloud Service Mesh を利用する GKE ワークロードには、Certificate Manager（第 2 世代）がモニタリングして管理する証明書があります。
   • GKE control plane authority: カスタム CA と証明書（CA Service から）を使用して GKE コントロール プレーン内の認証情報に署名して検証する GKE クラスタには、Certificate Manager（第 2 世代）がモニタリングして管理する証明書があります。

Certificate Manager（第 2 世代）が API、gcloud CLI、Terraform に与える影響

Certificate Manager（第 2 世代）には、既存の API と新しい API の両方をベースにした機能が導入されています。

• Certificate Manager（第 2 世代）: 第 2 世代の機能は完全にサポートされており、 Google Cloud コンソールで管理できます。
• Certificate Manager: 既存の API は非推奨になっていません。gcloud CLI、Terraform、直接 HTTP API 呼び出しを使用して、第 1 世代の機能を操作できます。

Certificate Manager（第 2 世代）は、v1 と v2 の両方の API 名前空間を使用します。

次のリストは、各リソースの API 名前空間の内訳を示しています。

• v2 Namespace: Observed Certificates API（v2/projects.locations.observedCertificates）が含まれています。
• v1 名前空間: 両方の世代で使用されるコア管理 API が含まれています。
  • Certificate API（v1/projects.locations.certificates）
  • Certificate Map API（v1/projects.locations.certificateMaps）
  • Certificate Issuance Config API（v1/projects.locations.certificateIssuanceConfigs）
  • Trust Config API（v1/projects.locations.trustConfigs）

次のステップ

• Certificate Manager（第 2 世代）の仕組み
• Certificate Manager のバージョンを比較する
• CA Service を使用して証明書を発行し、Certificate Manager（第 2 世代）で確認する
• ロードバランサの証明書のライフサイクルを自動化する
• ロールと権限