인증서 관리자 (2세대) 개요

인증서 관리자 (2세대)는 조직 전체에서 SSL/TLS 인증서의 관리, 배포, 자동화를 중앙 집중화할 수 있는 Google Cloud 서비스입니다. 인증서 관리자 (2세대)를 사용하면 단일 중앙 집중식 인터페이스를 통해 다양한 Google Cloud 서비스, 커스텀 워크로드, 온프레미스 환경의 인증서를 관리할 수 있습니다.

인증서 관리자는 주로 Google Cloud 부하 분산기를 지원하는 반면 인증서 관리자 (2세대)는 Google Kubernetes Engine (GKE) 워크로드, Compute Engine 인스턴스, 하이브리드 환경에 대한 지원을 확장했습니다.

인증서 관리자 1세대와 2세대의 차이점을 이해하려면 인증서 관리자 버전 비교를 참고하세요.

인증서 관리자 (2세대) 기능

인증서 관리자 (2세대)를 사용하면 다음을 수행할 수 있습니다.

  • 인증서 모니터링: 콘솔의 개요 페이지를 사용하여 각 서비스의 활성 인증서, 만료가 임박한 인증서, 암호화 알고리즘의 배포를 비롯한 인증서 상태를 모니터링합니다.Google Cloud 자세한 내용은 인증서 모니터링을 참고하세요.

  • 인증서 검색 및 검색: 콘솔의 인증서 페이지를 사용하여 인증서 관리자에서 직접 발급하지 않은 인증서를 포함한 모든 인증서를 확인합니다. Google Cloud 리소스 유형, 만료 상태, 관리 상태를 기준으로 필터링할 수 있습니다. 자세한 내용은 인증서 디렉터리 보기를 참고하세요.

  • 인증서 수명 주기 자동화: 발급 구성을 사용하여 정책을 정의하여 부하 분산기, 워크로드와 같은 리소스에서 인증서 생성 및 순환을 Google Cloud 제어합니다. Google Cloud 자동 관리 순환에 대해 다음 설정을 지정할 수 있습니다.

    • 인증서 전체 기간
    • 키 알고리즘
    • 순환 기간

    자세한 내용은 발급 구성 만들기, 부하 분산기의 수명 주기 관리 구성, 관리형 워크로드의 수명 주기 관리 구성을 참고하세요.

  • 워크로드 통신 보호: 루트 및 중간 CA 인증서와 같은 트러스트 앵커를 정의하고 배포하여 워크로드가 승인된 인증서만 신뢰하도록 합니다. 자세한 내용은 트러스트 구성 만들기를 참고하세요.

지원되는 Google Cloud 서비스

인증서 관리자 (2세대)는 Certificate Authority Service 및 Public CA와 직접 통합되어 비공개 인증서와 공개 인증서의 관리를 간소화합니다. 다음 두 가지 통합 모델을 지원합니다.

  1. 인증서 관리자 (2세대)는 다음 서비스의 인증서를 자동으로 관리합니다.

    • 관리형 워크로드 아이덴티티 지원 환경:
      • GKE: GKE 워크로드의 인증서 발급 및 순환을 자동화합니다.
      • Compute Engine: Compute Engine 인스턴스의 인증서 관리를 자동화합니다.
    • Cloud Load Balancing: 인증서 관리자 (2세대)는 발급 구성을 사용하여 Cloud Load Balancing의 TLS 인증서 프로비저닝 및 갱신을 자동화합니다. 이 자동화에는 애플리케이션 부하 분산기와 백엔드 간의 상호 TLS (mTLS) 통신 보호가 포함됩니다.

  2. CA 서비스는 다음 서비스의 인증서를 자동으로 관리하고 인증서 관리자 (2세대)는 이를 관찰합니다.

    • 에이전트 아이덴티티 지원 환경:
      • Vertex AI Agent Engine: 자동화된 인증서 관리를 통해 Google Cloud 및 서드 파티 API에 대한 보안 인증을 사용 설정합니다.
      • Gemini Enterprise: Gemini Enterprise 플랫폼 내에서 루트 에이전트, 노 코드 에이전트, Google 관리형 에이전트의 자동화된 인증서 관리
    • Cloud SQL: CA 서비스에서 발급한 인증서가 있는 Cloud SQL 인스턴스는 모니터링 가능성 및 관리를 위해 인증서 관리자 (2세대)에 표시됩니다.
    • Secure Web Proxy: CA 서비스에서 발급한 인증서가 있는 프록시는 관찰 가능성 및 관리를 위해 인증서 관리자 (2세대)에 표시됩니다.
    • Cloud Service Mesh: Cloud Service Mesh를 활용하는 GKE 워크로드에는 인증서 관리자 (2세대)가 관찰하고 관리하는 인증서가 있습니다.
    • GKE control plane authority: GKE 제어 영역 내에서 사용자 인증 정보를 서명하고 확인하기 위해 커스텀 CA 및 인증서 (CA 서비스에서)를 사용하는 GKE 클러스터에는 인증서 관리자 (2세대)가 관찰하고 관리하는 인증서가 있습니다.

인증서 관리자 (2세대)가 API, gcloud CLI, Terraform에 미치는 영향

인증서 관리자 (2세대)는 기존 API와 새 API를 모두 기반으로 하는 기능을 도입합니다.

  • 인증서 관리자 (2세대): 2세대 기능은 콘솔에서 완전히 지원되고 관리할 수 있습니다. Google Cloud
  • 인증서 관리자: 기존 API는 지원 중단되지 않습니다. gcloud CLI, Terraform, 직접 HTTP API 호출을 계속 사용하여 1세대 기능과 상호작용할 수 있습니다.

인증서 관리자 (2세대)는 v1v2 API 네임스페이스를 모두 사용합니다.

다음 목록은 각 리소스의 API 네임스페이스 분석을 자세히 설명합니다.

  • v2 네임스페이스: 관찰된 인증서 API (v2/projects.locations.observedCertificates)를 포함합니다.
  • v1 네임스페이스: 두 세대 모두에서 사용되는 핵심 관리 API를 포함합니다.
    • 인증서 API (v1/projects.locations.certificates)
    • 인증서 맵 API (v1/projects.locations.certificateMaps)
    • 인증서 발급 구성 API(v1/projects.locations.certificateIssuanceConfigs)
    • 트러스트 구성 API (v1/projects.locations.trustConfigs)

다음 단계