Visão geral do Certificate Manager (2ª geração)

O Certificate Manager (2ª geração) é um Google Cloud serviço que permite centralizar o gerenciamento, a implantação e a automação de certificados SSL/TLS em toda a organização. Com o Gerenciador de certificados (2ª geração), é possível gerenciar certificados para vários Google Cloud serviços, cargas de trabalho personalizadas, e ambientes locais em uma única interface centralizada.

O Gerenciador de certificados oferece suporte principalmente a Google Cloud balanceadores de carga, enquanto o Gerenciador de certificados (2ª geração) ampliou o suporte para cargas de trabalho do Google Kubernetes Engine (GKE), instâncias do Compute Engine e ambientes híbridos.

Para entender as diferenças entre a primeira e a segunda geração do Certificate Manager, consulte Comparar versões do Certificate Manager.

Recursos do Certificate Manager (2ª geração)

O Certificate Manager (2ª geração) permite fazer o seguinte:

  • Monitorar certificados: use a página Visão geral no Google Cloud console para monitorar a integridade do certificado, incluindo certificados ativos para cada um dos seus serviços, aqueles que estão perto do vencimento e a distribuição de algoritmos criptográficos. Para mais informações, consulte Monitorar certificados.

  • Pesquisar e descobrir certificados: use a página Certificados no Google Cloud console para conferir todos os seus certificados, incluindo aqueles que não foram emitidos diretamente pelo Gerenciador de certificados. É possível filtrar por tipo de recurso, status de validade e status de gerenciamento. Para mais informações, consulte Conferir o diretório de certificados.

  • Automatizar ciclos de vida de certificados: controle a geração e a rotação em Google Cloud recursos como balanceadores de carga e Google Cloud cargas de trabalho definindo políticas usando configurações de emissão. É possível especificar as seguintes configurações para a rotação gerenciada automaticamente:

    • Ciclo de vida do certificado
    • Algoritmo principal
    • Janela de rotação

    Para mais informações, consulte Criar configurações de emissão, Configurar o gerenciamento do ciclo de vida para balanceadores de carga e Configurar o gerenciamento do ciclo de vida para cargas de trabalho gerenciadas.

  • Proteger a comunicação da carga de trabalho: defina e distribua âncoras de confiança, como os certificados de CA raiz e intermediária, para garantir que as cargas de trabalho confiem apenas em certificados autorizados. Para mais informações, consulte Criar configurações de confiança.

Serviços com suporte Google Cloud

O Certificate Manager (2ª geração) é integrado diretamente ao Certificate Authority Service e à Public CA para simplificar o gerenciamento de certificados públicos e privados. Ele oferece suporte aos dois modelos de integração a seguir:

  1. O Certificate Manager (2ª geração) gerencia automaticamente os certificados dos seguintes serviços:

    • Ambientes ativados pela identidade da carga de trabalho gerenciada:
      • GKE:automatiza a emissão e a rotação de certificados para cargas de trabalho do GKE.
      • Compute Engine:automatiza o gerenciamento de certificados para instâncias do Compute Engine.
    • Cloud Load Balancing:o Gerenciador de certificados (2ª geração) automatiza o provisionamento e a renovação de certificados TLS para o Cloud Load Balancing usando configurações de emissão. Essa automação inclui a proteção da comunicação TLS mútua (mTLS) entre os Application Load Balancers e os back-ends.

  2. O CA Service gerencia automaticamente os certificados dos seguintes serviços, e o Gerenciador de certificados (2ª geração) os observa:

    • Ambientes ativados pela identidade do agente:
      • Vertex AI Agent Engine:gerenciamento automatizado de certificados para ativar a autenticação segura em APIs de terceiros e do Google. Google Cloud
      • Gemini Enterprise:gerenciamento automatizado de certificados para agentes raiz, agentes sem código e agentes gerenciados pelo Google na plataforma Gemini Enterprise.
    • Cloud SQL:as instâncias do Cloud SQL com certificados emitidos pelo CA Service aparecem no Certificate Manager (2ª geração) para observabilidade e gerenciamento.
    • Secure Web Proxy:os proxies com certificados emitidos pelo CA Service aparecem no Certificate Manager (2ª geração) para observabilidade e gerenciamento.
    • Cloud Service Mesh:as cargas de trabalho do GKE que usam o Cloud Service Mesh têm certificados que o Certificate Manager (2ª geração) observa e gerencia.
    • Autoridade do plano de controle do GKE:os clusters do GKE que usam AC e certificados personalizados (do CA Service) para assinar e verificar credenciais no plano de controle do GKE têm certificados que o Certificate Manager (2ª geração) observa e gerencia.

Como o Certificate Manager (2ª geração) afeta as APIs, a CLI gcloud e o Terraform

O Certificate Manager (2ª geração) apresenta recursos que se baseiam nas APIs atuais e na nova API.

  • Certificate Manager (2ª geração): os recursos de segunda geração são totalmente compatíveis e gerenciáveis no Google Cloud console.
  • Certificate Manager: as APIs atuais não foram descontinuadas. É possível continuar usando a CLI gcloud, o Terraform e chamadas diretas de API HTTP para interagir com os recursos de primeira geração.

O Certificate Manager (2ª geração) usa os namespaces de API v1 e v2.

A lista a seguir detalha o detalhamento do namespace da API para cada recurso:

  • v2 namespace: Contém a API de certificados observados (v2/projects.locations.observedCertificates)
  • v1 **Namespace**: contém as APIs de gerenciamento principais usadas em ambas as gerações:
    • API Certificate (v1/projects.locations.certificates)
    • API Certificate Map (v1/projects.locations.certificateMaps)
    • API Certificate Issuance Config (v1/projects.locations.certificateIssuanceConfigs)
    • API Trust Config (v1/projects.locations.trustConfigs)

A seguir