Zertifikatmanager (2nd gen) ist ein Google Cloud Dienst, mit dem Sie die Verwaltung, Bereitstellung und Automatisierung von SSL/TLS-Zertifikaten in Ihrem Unternehmen zentralisieren können. Mit Zertifikatmanager (2nd gen) können Sie Zertifikate für verschiedene Google Cloud Dienste, benutzerdefinierte Arbeitslasten, und lokale Umgebungen über eine einzige, zentrale Schnittstelle verwalten.
Der Zertifikatmanager unterstützt hauptsächlich Google Cloud Load-Balancer, während Zertifikatmanager (2nd gen) die Unterstützung für Google Kubernetes Engine-Arbeitslasten (GKE), Compute Engine Instanzen und Hybridumgebungen erweitert hat.
Informationen zu den Unterschieden zwischen der ersten und zweiten Generation des Zertifikatmanagers finden Sie unter Zertifikatmanager Versionen vergleichen.
Funktionen von Zertifikatmanager (2nd gen)
Mit Zertifikatmanager (2nd gen) können Sie Folgendes tun:
Zertifikate überwachen: Auf der Seite Übersicht in der Google Cloud Console können Sie den Zustand von Zertifikaten überwachen, einschließlich aktiver Zertifikate für jeden Ihrer Dienste, Zertifikate, die bald ablaufen, und die Verteilung kryptografischer Algorithmen. Weitere Informationen finden Sie unter Zertifikate überwachen.
Zertifikate suchen und finden: Auf der Seite Zertifikate in der Google Cloud Console können Sie alle Ihre Zertifikate ansehen, einschließlich der Zertifikate, die nicht direkt vom Zertifikatmanager ausgestellt wurden. Sie können nach Ressourcentyp, Ablaufstatus und Verwaltungsstatus filtern. Weitere Informationen finden Sie unter Zertifikatverzeichnis ansehen.
Zertifikatslebenszyklen automatisieren: Sie können die Zertifikatsgenerierung und Rotation für Google Cloud Ressourcen wie Load-Balancer und Google Cloud Arbeitslasten steuern, indem Sie Richtlinien mithilfe von Ausstellungs Konfigurationen definieren. Sie können die folgenden Einstellungen für die automatisch verwaltete Rotation angeben:
- Lebensdauer des Zertifikats
- Schlüsselalgorithmus
- Rotationsfenster
Weitere Informationen finden Sie unter Ausstellungs-Konfigurationen erstellen, Lebenszyklusverwaltung für Load-Balancer konfigurieren und Lebenszyklusverwaltung für verwaltete Arbeitslasten konfigurieren.
Arbeitslastkommunikation sichern: Definieren und verteilen Sie Vertrauensanker, wie die Root- und Intermediate-CA-Zertifikate, um sicherzustellen, dass Arbeitslasten nur autorisierten Zertifikaten vertrauen. Weitere Informationen finden Sie unter Vertrauens konfigurationen erstellen.
Unterstützte Google Cloud Dienste
Zertifikatmanager (2nd gen) lässt sich direkt in den Certificate Authority Service und Public CA integrieren, um die Verwaltung von privaten und öffentlichen Zertifikaten zu vereinfachen. Es werden die folgenden beiden Integrationsmodelle unterstützt:
Zertifikatmanager (2nd gen) verwaltet Zertifikate automatisch für die folgenden Dienste:
- Umgebungen mit aktivierter verwalteter Arbeitslastidentität:
- GKE:Automatisiert die Zertifikatsausstellung und -rotation für Ihre GKE-Arbeitslasten.
- Compute Engine:Automatisiert die Zertifikatsverwaltung für Ihre Compute Engine-Instanzen.
- Cloud Load Balancing:Zertifikatmanager (2nd gen) automatisiert die Bereitstellung und Verlängerung von TLS-Zertifikaten für Cloud Load Balancing mithilfe von Ausstellungs-Konfigurationen. Diese Automatisierung umfasst die Sicherung der gegenseitigen TLS-Kommunikation (mTLS) zwischen Application Load Balancern und ihren Back-Ends.
- Umgebungen mit aktivierter verwalteter Arbeitslastidentität:
Der CA Service verwaltet Zertifikate automatisch für die folgenden Dienste und Zertifikatmanager (2nd gen) beobachtet sie:
- Umgebungen mit aktivierter Agent Identity:
- Agent Runtime: Automatisierte Zertifikats verwaltung zur Aktivierung der sicheren Authentifizierung bei Google Cloud und APIs von Drittanbietern.
- Gemini Enterprise:Automatisierte Zertifikatsverwaltung für Root-Agents, No-Code-Agents und von Google verwaltete Agents in der Gemini Enterprise-Plattform.
- Cloud SQL:Cloud SQL-Instanzen mit Zertifikaten, die von Ihrem CA Service ausgestellt wurden, werden in Zertifikatmanager (2nd gen) zur Beobachtung und Verwaltung angezeigt.
- Secure Web Proxy:Proxys mit Zertifikaten, die von Ihrem CA Service ausgestellt wurden, werden in Zertifikatmanager (2nd gen) zur Beobachtung und Verwaltung angezeigt.
- Cloud Service Mesh:GKE-Arbeitslasten, die Cloud Service Mesh nutzen, haben Zertifikate, die von Zertifikatmanager (2nd gen) beobachtet und verwaltet werden.
- GKE-Steuerungsebene:GKE-Cluster, die benutzerdefinierte Zertifizierungsstellen und Zertifikate (vom CA Service) verwenden, um Anmeldedaten auf der GKE-Steuerungsebene zu signieren und zu bestätigen, haben Zertifikate, die von Zertifikatmanager (2nd gen) beobachtet und verwaltet werden.
- Umgebungen mit aktivierter Agent Identity:
Auswirkungen von Zertifikatmanager (2nd gen) auf APIs, die gcloud CLI und Terraform
Zertifikatmanager (2nd gen) führt Funktionen ein, die sowohl auf vorhandenen APIs als auch auf der neuen API basieren.
- Zertifikatmanager (2nd gen): Funktionen der zweiten Generation werden in derConsole vollständig unterstützt und können dort verwaltet werden. Google Cloud
- Zertifikatmanager: Vorhandene APIs werden nicht eingestellt. Sie können weiterhin die gcloud CLI, Terraform und direkte HTTP-API-Aufrufe verwenden, um mit Funktionen der ersten Generation zu interagieren.
Zertifikatmanager (2nd gen) verwendet sowohl die API-Namespaces v1 als auch v2.
In der folgenden Liste ist die Aufschlüsselung der API-Namespaces für jede Ressource aufgeführt:
v2-Namespace: Enthält die API für beobachtete Zertifikate (v2/projects.locations.observedCertificates)v1-Namespace: Enthält die wichtigsten Verwaltungs-APIs, die in beiden Generationen verwendet werden:- Zertifikat-API (
v1/projects.locations.certificates) - Zertifikatzuordnungs-API (
v1/projects.locations.certificateMaps) - API für die Konfiguration der Zertifikatsausstellung (
v1/projects.locations.certificateIssuanceConfigs) - API für die Vertrauenskonfiguration (
v1/projects.locations.trustConfigs)
- Zertifikat-API (
Nächste Schritte
- Funktionsweise von Zertifikatmanager (2nd gen)
- Zertifikatmanager-Versionen vergleichen
- Zertifikat mit dem CA Service ausstellen und in Zertifikatmanager (2nd gen) bestätigen
- Zertifikatslebenszyklus für Load-Balancer automatisieren
- Rollen und Berechtigungen