Certificate Manager(第 2 代)概览

Certificate Manager(第 2 代)是一项服务,可让您集中管理、部署和自动执行组织内的 SSL/TLS 证书。 Google Cloud 借助 Certificate Manager(第 2 代),您可以通过一个集中式界面管理各种服务、自定义工作负载和本地环境的证书。 Google Cloud

Certificate Manager 主要支持 Google Cloud 负载平衡器,而 Certificate Manager(第 2 代)则扩展了对 Google Kubernetes Engine (GKE) 工作负载、Compute Engine 实例和混合环境的支持。

如需了解第一代和第二代 Certificate Manager 之间的差异,请参阅比较 Certificate Manager 版本

Certificate Manager(第 2 代)的功能

借助 Certificate Manager(第 2 代),您可以执行以下操作:

  • 监控证书:使用概览页面在 Google Cloud 控制台监控证书运行状况,包括每个服务的有效 证书、即将过期的证书以及 加密算法的分布情况。如需了解详情,请参阅 监控证书

  • 搜索和发现证书:使用控制台中的 证书页面查看所有 Google Cloud 证书,包括并非由 Certificate Manager 直接颁发的 证书。您可以按资源类型、到期状态和管理状态进行过滤。如需了解详情,请参阅 查看证书目录

  • 自动执行证书生命周期:通过使用颁发配置定义政策,控制负载平衡器和 Google Cloud 工作负载等资源上的证书生成和 轮替。 Google Cloud 您可以为自动管理的轮替指定以下设置:

    • 证书生命周期
    • 密钥算法
    • 轮替期限

    如需了解详情,请参阅创建颁发配置为负载平衡器配置生命周期管理为托管式工作负载配置生命周期管理

  • 确保工作负载通信安全:定义和分发信任锚点, 例如根 CA 证书和中间 CA 证书,以确保工作负载仅 信任授权证书。如需了解详情,请参阅创建信任 配置

支持的服务 Google Cloud

Certificate Manager(第 2 代)与 Certificate Authority Service 和 Public CA 直接集成,以简化私有证书和公共证书的管理。它支持以下两种集成模式:

  1. Certificate Manager(第 2 代)自动管理以下服务的证书:

    • 已启用托管式工作负载身份的环境
      • GKE: 自动执行 GKE 工作负载的证书颁发和轮替。
      • Compute Engine: 自动执行 Compute Engine 实例的证书管理。
    • Cloud Load Balancing: Certificate Manager(第 2 代)通过使用颁发配置,自动执行 Cloud Load Balancing 的 TLS 证书预配和续订。此自动化包括确保应用负载平衡器及其后端之间的双向 TLS (mTLS) 通信安全。

  2. CA Service 自动管理以下服务的证书,Certificate Manager(第 2 代)会观察这些证书:

    • 已启用代理身份的环境
      • Vertex AI Agent Engine: 自动执行证书 管理,以实现对 Google Cloud 和 第三方 API 的安全身份验证。
      • Gemini Enterprise: 自动执行 Gemini Enterprise 平台内根代理、无代码代理和 Google 管理的代理的证书管理。
    • Cloud SQL: 由 CA Service 颁发证书的 Cloud SQL 实例会显示在 Certificate Manager(第 2 代)中,以便进行可观测性和管理。
    • Secure Web Proxy: 由 CA Service 颁发证书的代理会显示在 Certificate Manager(第 2 代)中,以便进行可观测性和管理。
    • Cloud Service Mesh: 利用 Cloud Service Mesh 的 GKE 工作负载具有 Certificate Manager(第 2 代)观察和管理的证书。
    • GKE control plane authority: 使用自定义 CA 和证书(来自 CA Service)在 GKE 控制平面内对凭据进行签名和验证的 GKE 集群具有 Certificate Manager(第 2 代)观察和管理的证书。

Certificate Manager(第 2 代)对 API、gcloud CLI 和 Terraform 的影响

Certificate Manager(第 2 代)引入了基于现有 API 和新 API 的功能。

  • Certificate Manager(第 2 代):控制台完全支持和 管理第二代功能。 Google Cloud
  • Certificate Manager:现有 API 不会被 废弃。您可以继续使用 gcloud CLI、Terraform 和直接 HTTP API 调用与第一代功能进行交互。

Certificate Manager(第 2 代)同时使用 v1v2 API 命名空间。

以下列表详细介绍了每个资源的 API 命名空间细分:

  • v2 命名空间:包含 Observed Certificates API (v2/projects.locations.observedCertificates)
  • v1 命名空间 :包含两代产品中使用的核心管理 API:
    • Certificate API (v1/projects.locations.certificates)
    • Certificate Map API (v1/projects.locations.certificateMaps)
    • Certificate Issuance Config API (v1/projects.locations.certificateIssuanceConfigs)
    • Trust Config API (v1/projects.locations.trustConfigs)

后续步骤