Certificate Manager (第 2 代) 總覽

Certificate Manager (第 2 代) 是一項 Google Cloud 服務,可讓您集中管理、部署及自動化處理整個機構的 SSL/TLS 憑證。透過 Certificate Manager (第 2 代),您可以使用單一集中式介面,管理各種 Google Cloud 服務、自訂工作負載和地端部署環境的憑證。

Certificate Manager 主要支援Google Cloud 負載平衡器,而 Certificate Manager (第 2 代) 則擴大支援 Google Kubernetes Engine (GKE) 工作負載、Compute Engine 執行個體和混合式環境。

如要瞭解第一代和第二代 Certificate Manager 的差異,請參閱「比較 Certificate Manager 版本」。

Certificate Manager (第 2 代) 功能

Certificate Manager (第 2 代) 可讓您執行下列操作:

  • 監控憑證:使用控制台的總覽頁面監控憑證健康狀態,包括各項服務的有效憑證、即將到期的憑證,以及加密演算法的分配情形。Google Cloud 詳情請參閱「監控憑證」。

  • 搜尋及探索憑證:在 Google Cloud 控制台中使用「憑證」頁面,查看所有憑證,包括非由 Certificate Manager 直接核發的憑證。您可以依資源類型、到期狀態和管理狀態篩選。詳情請參閱「查看憑證目錄」。

  • 自動執行憑證生命週期:透過定義簽發設定政策,控管負載平衡器等 Google Cloud 資源和Google Cloud 工作負載的憑證產生和輪換作業。您可以為自動管理的輪播指定下列設定:

    • 憑證效期
    • 金鑰演算法
    • 輪替期

    詳情請參閱「建立簽發設定」、「設定負載平衡器的生命週期管理」和「設定受管理工作負載的生命週期管理」。

  • 確保工作負載通訊安全:定義及分配信任錨點 (例如根 CA 和中介 CA 憑證),確保工作負載只信任授權憑證。詳情請參閱「建立信任設定」。

支援的 Google Cloud 服務

Certificate Manager (第 2 代) 直接整合憑證授權單位服務和 Public CA,簡化私人和公開憑證的管理作業。支援下列兩種整合模式:

  1. Certificate Manager (第 2 代) 會自動管理下列服務的憑證:

    • 已啟用代管型 Workload Identity 的環境:
      • GKE:自動為 GKE 工作負載核發及輪替憑證。
      • Compute Engine:自動管理 Compute Engine 執行個體的憑證。
    • Cloud Load Balancing:Certificate Manager (第 2 代) 會使用核發設定,自動佈建及續訂 Cloud Load Balancing 的 TLS 憑證。這項自動化程序包括確保應用程式負載平衡器與後端之間的相互 TLS (mTLS) 通訊安全無虞。

  2. CA 服務會自動管理下列服務的憑證,而 Certificate Manager (第 2 代) 會監控這些憑證:

    • 支援代理身分的環境:
      • Vertex AI Agent Engine:自動化憑證管理,可啟用對第三方 API 的安全驗證。 Google Cloud
      • Gemini Enterprise:在 Gemini Enterprise 平台中,自動管理根代理、無程式碼代理和 Google 管理代理的憑證。
    • Cloud SQL:由 CA 服務核發憑證的 Cloud SQL 執行個體會顯示在 Certificate Manager (第 2 代) 中,方便您觀察及管理。
    • Secure Web Proxy:憑證管理員 (第 2 代) 會顯示由 CA 服務核發憑證的 Proxy,方便您觀察及管理。
    • Cloud Service Mesh:使用 Cloud Service Mesh 的 GKE 工作負載,其憑證會由 Certificate Manager (第 2 代) 監控及管理。
    • GKE 控制平面授權:使用自訂 CA 和憑證 (來自 CA 服務) 在 GKE 控制平面中簽署及驗證憑證的 GKE 叢集,其憑證會由 Certificate Manager (第 2 代) 監控及管理。

Certificate Manager (第 2 代) 對 API、gcloud CLI 和 Terraform 的影響

Certificate Manager (第 2 代) 導入的功能是以現有 API 和新版 API 為基礎建構而成。

  • Certificate Manager (第 2 代):第 2 代功能完全支援,且可在 Google Cloud 控制台中管理。
  • Certificate Manager:現有 API 不會淘汰。您仍可使用 gcloud CLI、Terraform 和直接 HTTP API 呼叫,與第一代功能互動。

Certificate Manager (第 2 代) 同時使用 v1v2 API 命名空間。

下表詳細列出各項資源的 API 命名空間細目:

  • v2 命名空間:包含 Observed Certificates API (v2/projects.locations.observedCertificates)
  • v1 命名空間:包含兩個世代通用的核心管理 API:
    • Certificate API (v1/projects.locations.certificates)
    • Certificate Map API (v1/projects.locations.certificateMaps)
    • 憑證核發設定 API (v1/projects.locations.certificateIssuanceConfigs)
    • Trust Config API (v1/projects.locations.trustConfigs)

後續步驟