Ringkasan Certificate Manager (generasi ke-2)

Certificate Manager (generasi ke-2) adalah layanan yang memungkinkan Anda memusatkan pengelolaan, deployment, dan otomatisasi sertifikat SSL/TLS di seluruh organisasi Anda. Google Cloud Dengan Certificate Manager (generasi ke-2), Anda dapat mengelola sertifikat untuk berbagai layanan, workload kustom, dan lingkungan lokal melalui satu antarmuka terpusat. Google Cloud

Certificate Manager terutama mendukung load balancer, sedangkan Certificate Manager (generasi ke-2) telah memperluas dukungan untuk workload Google Kubernetes Engine (GKE), instance Compute Engine, dan lingkungan hybrid.Google Cloud

Untuk memahami perbedaan antara Pengelola Sertifikat generasi pertama dan kedua, lihat Membandingkan versi Pengelola Sertifikat.

Fitur Certificate Manager (generasi ke-2)

Certificate Manager (generasi ke-2) memungkinkan Anda melakukan hal berikut:

  • Memantau sertifikat: Gunakan halaman Ringkasan di konsolGoogle Cloud untuk memantau kondisi sertifikat, termasuk sertifikat aktif untuk setiap layanan Anda, sertifikat yang akan segera berakhir, dan distribusi algoritma kriptografi. Untuk mengetahui informasi selengkapnya, lihat Memantau sertifikat.

  • Menelusuri dan menemukan sertifikat: Gunakan halaman Sertifikat di konsol Google Cloud untuk melihat semua sertifikat Anda, termasuk sertifikat yang tidak diterbitkan langsung oleh Certificate Manager. Anda dapat memfilter menurut jenis resource, status habis masa berlaku, dan status pengelolaan. Untuk mengetahui informasi selengkapnya, lihat Melihat direktori sertifikat.

  • Mengotomatiskan siklus proses sertifikat: Kontrol pembuatan dan rotasi sertifikat pada resource Google Cloud seperti load balancer, dan workloadGoogle Cloud dengan menentukan kebijakan menggunakan konfigurasi penerbitan. Anda dapat menentukan setelan berikut untuk rotasi yang dikelola otomatis:

    • Masa berlaku sertifikat
    • Algoritma kunci
    • Periode rotasi

    Untuk mengetahui informasi selengkapnya, lihat Membuat konfigurasi penerbitan, Mengonfigurasi pengelolaan siklus proses untuk load balancer, dan Mengonfigurasi pengelolaan siklus proses untuk workload terkelola.

  • Mengamankan komunikasi workload: Tentukan dan distribusikan trust anchor, seperti sertifikat CA root dan perantara, untuk memastikan workload hanya memercayai sertifikat yang sah. Untuk mengetahui informasi selengkapnya, lihat Membuat konfigurasi kepercayaan.

Layanan Google Cloud yang didukung

Certificate Manager (generasi ke-2) terintegrasi langsung dengan Certificate Authority Service dan CA Publik untuk menyederhanakan pengelolaan sertifikat pribadi dan publik. API ini mendukung dua model integrasi berikut:

  1. Certificate Manager (generasi ke-2) mengelola sertifikat secara otomatis untuk layanan berikut:

    • Lingkungan yang mendukung identitas workload terkelola:
      • GKE: Mengotomatiskan penerbitan dan rotasi sertifikat untuk workload GKE Anda.
      • Compute Engine: Mengotomatiskan pengelolaan sertifikat untuk instance Compute Engine Anda.
    • Cloud Load Balancing: Certificate Manager (generasi ke-2) mengotomatiskan penyediaan dan perpanjangan sertifikat TLS untuk Cloud Load Balancing dengan menggunakan konfigurasi penerbitan. Otomatisasi ini mencakup pengamanan komunikasi TLS dua arah (mTLS) antara Load Balancer Aplikasi dan backend-nya.

  2. CA Service mengelola sertifikat secara otomatis untuk layanan berikut, dan Certificate Manager (generasi ke-2) mengamatinya:

    • Lingkungan yang mendukung Identitas Agen:
      • Vertex AI Agent Engine: Pengelolaan sertifikat otomatis untuk mengaktifkan autentikasi yang aman ke Google Cloud dan API pihak ketiga.
      • Gemini Enterprise: Pengelolaan sertifikat otomatis untuk agen root, agen tanpa coding, dan agen yang dikelola Google di dalam platform Gemini Enterprise.
    • Cloud SQL: Instance Cloud SQL dengan sertifikat yang dikeluarkan oleh CA Service Anda muncul di Certificate Manager (generasi ke-2) untuk kemampuan pengamatan dan pengelolaan.
    • Secure Web Proxy: Proxy dengan sertifikat yang diterbitkan oleh CA Service Anda muncul di Certificate Manager (generasi ke-2) untuk observasi dan pengelolaan.
    • Cloud Service Mesh: Workload GKE yang memanfaatkan Cloud Service Mesh memiliki sertifikat yang dipantau dan dikelola oleh Certificate Manager (generasi ke-2).
    • Otoritas bidang kontrol GKE: Cluster GKE yang menggunakan CA dan sertifikat kustom (dari Layanan CA) untuk menandatangani dan memverifikasi kredensial dalam bidang kontrol GKE memiliki sertifikat yang diamati dan dikelola oleh Pengelola Sertifikat (generasi ke-2).

Dampak Certificate Manager (generasi ke-2) terhadap API, gcloud CLI, dan Terraform

Certificate Manager (generasi ke-2) memperkenalkan fitur yang dibangun berdasarkan API yang ada dan API baru.

  • Pengelola Sertifikat (generasi ke-2): Fitur generasi kedua didukung sepenuhnya dan dapat dikelola di konsol Google Cloud .
  • Certificate Manager: API yang ada tidak dihentikan. Anda dapat terus menggunakan gcloud CLI, Terraform, dan panggilan HTTP API langsung untuk berinteraksi dengan fitur generasi pertama.

Certificate Manager (generasi ke-2) menggunakan namespace API v1 dan v2.

Daftar berikut menjelaskan perincian namespace API untuk setiap resource:

  • Namespace v2: Berisi Observed Certificates API (v2/projects.locations.observedCertificates)
  • Namespace v1: Berisi API pengelolaan inti yang digunakan di kedua generasi:
    • Certificate API (v1/projects.locations.certificates)
    • Certificate Map API (v1/projects.locations.certificateMaps)
    • Certificate Issuance Config API (v1/projects.locations.certificateIssuanceConfigs)
    • Trust Config API (v1/projects.locations.trustConfigs)

Langkah berikutnya