El Administrador de certificados (2ª gen.) es un Google Cloud servicio que te permite centralizar la administración, la implementación y la automatización de los certificados SSL/TLS en toda tu organización. Con el Administrador de certificados (2ª gen.), puedes administrar certificados para varios Google Cloud servicios, cargas de trabajo personalizadas, y entornos locales a través de una sola interfaz centralizada.
El Administrador de certificados admite principalmente Google Cloud balanceadores de cargas, mientras que el Administrador de certificados (2ª gen.) ha ampliado la compatibilidad con las cargas de trabajo de Google Kubernetes Engine (GKE), las instancias de Compute Engine y los entornos híbridos.
Para comprender las diferencias entre la primera y la segunda generación de Administrador de certificados, consulta Compara las versiones del Administrador de certificados.
Funciones del Administrador de certificados (2ª gen.)
El Administrador de certificados (2ª gen.) te permite hacer lo siguiente:
Supervisar certificados: Usa la página Descripción general en la Google Cloud consola para supervisar el estado de los certificados, incluidos los certificados activos para cada uno de tus servicios, los que están por vencer y la distribución de los algoritmos criptográficos. Para obtener más información, consulta Supervisa los certificados.
Buscar y descubrir certificados: Usa la página Certificados en la Google Cloud consola para ver todos tus certificados, incluidos los que no emite directamente el Administrador de certificados. Puedes filtrar por tipo de recurso, estado de vencimiento y estado de administración. Para obtener más información, consulta Visualiza el directorio de certificados.
Automatizar los ciclos de vida de los certificados: Controla la generación y la rotación de Google Cloud certificados en recursos como los balanceadores de cargas y las Google Cloud cargas de trabajo definiendo políticas con configuraciones de emisión. Puedes especificar los siguientes parámetros de configuración para la rotación administrada automáticamente:
- Duración del certificado
- Algoritmo criptográfico
- Ventana de rotación
Para obtener más información, consulta Crea configuraciones de emisión, Configura la administración del ciclo de vida para los balanceadores de cargas y Configura la administración del ciclo de vida para las cargas de trabajo administradas.
Proteger la comunicación de la carga de trabajo: Define y distribuye anclajes de confianza, como los certificados de CA raíz e intermedia, para garantizar que las cargas de trabajo solo confíen en los certificados autorizados. Para obtener más información, consulta Crea configuraciones de confianza.
Servicios compatibles Google Cloud
El Administrador de certificados (2ª gen.) se integra directamente con Certificate Authority Service y Public CA para simplificar la administración de certificados privados y públicos. Admite los siguientes dos modelos de integración:
El Administrador de certificados (2ª gen.) administra automáticamente los certificados de los siguientes servicios:
- Entornos habilitados para la identidad de carga de trabajo administrada:
- GKE: Automatiza la emisión y la rotación de certificados para tus cargas de trabajo de GKE.
- Compute Engine: Automatiza la administración de certificados para tus instancias de Compute Engine.
- Cloud Load Balancing: El Administrador de certificados (2ª gen.) automatiza el aprovisionamiento y la renovación de certificados TLS para Cloud Load Balancing mediante configuraciones de emisión. Esta automatización incluye la protección de la comunicación TLS mutua (mTLS) entre los balanceadores de cargas de aplicaciones y sus backends.
- Entornos habilitados para la identidad de carga de trabajo administrada:
El servicio de AC administra automáticamente los certificados de los siguientes servicios, y el Administrador de certificados (2ª gen.) los observa:
- Entornos habilitados para la identidad del agente:
- Vertex AI Agent Engine: Administración automatizada de certificados para habilitar la autenticación segura en las APIs propias Google Cloud y de terceros.
- Gemini Enterprise: Administración automatizada de certificados para agentes raíz, agentes sin código y agentes administrados por Google dentro de la plataforma Gemini Enterprise.
- Cloud SQL: Las instancias de Cloud SQL con certificados emitidos por tu servicio de AC aparecen en el Administrador de certificados (2ª gen.) para la observabilidad y la administración.
- Secure Web Proxy: Los proxies con certificados emitidos por tu servicio de AC aparecen en el Administrador de certificados (2ª gen.) para la observabilidad y la administración.
- Cloud Service Mesh: Las cargas de trabajo de GKE que aprovechan Cloud Service Mesh tienen certificados que el Administrador de certificados (2ª gen.) observa y administra.
- Autoridad del plano de control de GKE: Los clústeres de GKE que usan una AC y certificados personalizados (del servicio de AC) para firmar y verificar credenciales dentro del plano de control de GKE tienen certificados que el Administrador de certificados (2ª gen.) observa y administra.
- Entornos habilitados para la identidad del agente:
Cómo afecta el Administrador de certificados (2ª gen.) a las APIs, gcloud CLI y Terraform
El Administrador de certificados (2ª gen.) presenta funciones que se basan en las APIs existentes y en la nueva API.
- Administrador de certificados (2ª gen.): Las funciones de segunda generación son totalmente compatibles y administrables en la Google Cloud consola.
- Administrador de certificados: Las APIs existentes no dejaron de estar disponibles. Puedes seguir usando gcloud CLI, Terraform y las llamadas directas a la API de HTTP para interactuar con las funciones de primera generación.
El Administrador de certificados (2ª gen.) usa los espacios de nombres de la API v1 y v2.
En la siguiente lista, se detalla el desglose del espacio de nombres de la API para cada recurso:
v2espacio de nombres: Contiene la API de certificados observados (v2/projects.locations.observedCertificates)v1espacio de nombres: Contiene las APIs de administración principales que se usan en ambas generaciones:- API de certificados (
v1/projects.locations.certificates) - API de mapa de certificados (
v1/projects.locations.certificateMaps) - API de configuración de emisión de certificados (
v1/projects.locations.certificateIssuanceConfigs) - API de configuración de confianza (
v1/projects.locations.trustConfigs)
- API de certificados (
¿Qué sigue?
- Cómo funciona el Administrador de certificados (2ª gen.)
- Compara las versiones del Administrador de certificados
- Emite un certificado con el servicio de CA y verifica en el Administrador de certificados (2ª gen.)
- Automatiza el ciclo de vida de los certificados para los balanceadores de cargas
- Funciones y permisos