Certificate Manager (2nd gen) est un Google Cloud service qui vous permet de centraliser la gestion, le déploiement et l'automatisation des certificats SSL/TLS dans votre organisation. Avec Certificate Manager (2nd gen), vous pouvez gérer les certificats de différents Google Cloud services, charges de travail personnalisées, et environnements sur site via une interface unique et centralisée.
Certificate Manager est principalement compatible avec Google Cloud les équilibreurs de charge, tandis que Certificate Manager (2nd gen) est compatible avec les charges de travail Google Kubernetes Engine (GKE), les instances Compute Engine et les environnements hybrides.
Pour comprendre les différences entre la première et la deuxième génération de Certificate Manager, consultez Comparer les versions de Certificate Manager.
Fonctionnalités de Certificate Manager (2nd gen)
Certificate Manager (2nd gen) vous permet d'effectuer les opérations suivantes :
Surveiller les certificats : utilisez la page Présentation de la Google Cloud console pour surveiller l'état des certificats, y compris les certificats actifs pour chacun de vos services, ceux qui arrivent à expiration et la distribution des algorithmes cryptographiques. Pour en savoir plus, consultez Surveiller les certificats.
Rechercher et découvrir des certificats : utilisez la page Certificats de la Google Cloud console pour afficher tous vos certificats, y compris ceux qui ne sont pas directement émis par Certificate Manager. Vous pouvez filtrer par type de ressource, état d'expiration et état de gestion. Pour en savoir plus, consultez Afficher le répertoire des certificats.
Automatiser les cycles de vie des certificats : contrôlez la génération et la rotation des Google Cloud certificats sur des ressources telles que les équilibreurs de charge et les Google Cloud charges de travail en définissant des stratégies à l'aide de configurations d'émission. Vous pouvez spécifier les paramètres suivants pour la rotation autogérée :
- Durée de vie du certificat
- Algorithme de clé
- Fenêtre de rotation
Pour en savoir plus, consultez Créer des configurations d'émission, Configurer la gestion du cycle de vie pour les équilibreurs de charge et Configurer la gestion du cycle de vie pour les charges de travail gérées.
Sécuriser la communication des charges de travail : définissez et distribuez des ancres de confiance, telles que les certificats CA racine et intermédiaires, pour vous assurer que les charges de travail ne font confiance qu'aux certificats autorisés. Pour en savoir plus, consultez Créer des configurations de confiance.
Services Google Cloud compatibles
Certificate Manager (2nd gen) s'intègre directement à Certificate Authority Service et à Public CA pour simplifier la gestion des certificats privés et publics. Il est compatible avec les deux modèles d'intégration suivants :
Certificate Manager (2nd gen) gère automatiquement les certificats pour les services suivants :
- Environnements compatibles avec les identités de charge de travail gérées
- GKE : automatise l'émission et la rotation des certificats pour vos charges de travail GKE.
- Compute Engine : automatise la gestion des certificats pour vos instances Compute Engine.
- Cloud Load Balancing : Certificate Manager (2nd gen) automatise le provisionnement et le renouvellement des certificats TLS pour Cloud Load Balancing à l'aide de configurations d'émission. Cette automatisation inclut la sécurisation de la communication TLS mutuel (mTLS) entre les équilibreurs de charge d'application et leurs backends.
- Environnements compatibles avec les identités de charge de travail gérées
CA Service gère automatiquement les certificats pour les services suivants, et Certificate Manager (2nd gen) les observe :
- Environnements compatibles avec les identités d'agent
- Agent Runtime : gestion automatisée des certificats pour permettre l'authentification sécurisée auprès des API Google Cloud et des API tierces.
- Gemini Enterprise : gestion automatisée des certificats pour les agents racines, les agents no-code et les agents gérés par Google au sein de la plate-forme Gemini Enterprise.
- Cloud SQL : les instances Cloud SQL avec des certificats émis par votre CA Service s'affichent dans Certificate Manager (2nd gen) pour l'observabilité et la gestion.
- Secure Web Proxy : les proxys avec des certificats émis par votre CA Service s'affichent dans Certificate Manager (2nd gen) pour l'observabilité et la gestion.
- Cloud Service Mesh : les charges de travail GKE qui utilisent Cloud Service Mesh disposent de certificats que Certificate Manager (2nd gen) observe et gère.
- Autorité du plan de contrôle GKE : les clusters GKE qui utilisent une autorité de certification et des certificats personnalisés (à partir de CA Service) pour signer et vérifier les identifiants dans le plan de contrôle GKE disposent de certificats que Certificate Manager (2nd gen) observe et gère.
- Environnements compatibles avec les identités d'agent
Impact de Certificate Manager (2nd gen) sur les API, gcloud CLI et Terraform
Certificate Manager (2nd gen) introduit des fonctionnalités qui s'appuient à la fois sur les API existantes et sur la nouvelle API.
- Certificate Manager (2nd gen): les fonctionnalités de deuxième génération sont entièrement compatibles et gérables dans la Google Cloud console.
- Certificate Manager : les API existantes ne sont pas obsolètes. Vous pouvez continuer à utiliser gcloud CLI, Terraform et les appels d'API HTTP directs pour interagir avec les fonctionnalités de première génération.
Certificate Manager (2nd gen) utilise les espaces de noms d'API v1 et v2.
La liste suivante détaille la répartition des espaces de noms d'API pour chaque ressource :
v2espace de noms : contient l'API des certificats observés (v2/projects.locations.observedCertificates)v1espace de noms : contient les API de gestion de base utilisées dans les deux générations :- API Certificate (
v1/projects.locations.certificates) - API Certificate Map (
v1/projects.locations.certificateMaps) - API Certificate Issuance Config (
v1/projects.locations.certificateIssuanceConfigs) - API Trust Config (
v1/projects.locations.trustConfigs)
- API Certificate (
Étape suivante
- Fonctionnement de Certificate Manager (2nd gen)
- Comparer les versions de Certificate Manager
- Émettre un certificat à l'aide de CA Service et le vérifier dans Certificate Manager (2nd gen)
- Automatiser le cycle de vie des certificats pour les équilibreurs de charge
- Rôles et autorisations