Componentes principais do Gerenciador de certificados

Esta página oferece uma visão geral dos principais componentes e conceitos do Certificate Manager.

Certificados

Um certificado representa um único certificado X.509 Transport Layer Security (TLS) (SSL) emitido para nomes de domínio específicos ou curingas de domínio.

O Certificate Manager é compatível com os seguintes tipos de certificados:

  • Certificados gerenciados pelo Google: certificados que o Google Cloud obtém e gerencia para você. Quando um novo certificado gerenciado pelo Google é emitido ou renovado, o Gerenciador de certificados usa uma chave privada recém-gerada para o certificado.
  • Certificados autogerenciados: certificados que você recebe, provisiona e renova.

Certificados gerenciados pelo Google

Os certificados gerenciados pelo Google são certificados TLS que o Google Cloud recebe e gerencia para você. Com o Certificate Manager, é possível criar, gerenciar e renovar automaticamente seus certificados gerenciados pelo Google. Ele também permite verificar a propriedade do domínio usando a autorização baseada em balanceador de carga ou em DNS.

O Certificate Manager é compatível com a Public Certificate Authority (CA) e a CA Let's Encrypt. Por padrão, a Public CA emite certificados gerenciados pelo Google. Se não for possível conseguir um certificado da Public CA para um domínio específico, o Certificate Manager vai usar a CA Let's Encrypt. Isso pode acontecer quando a Public CA se recusa a emitir um certificado para um domínio ou quando o registro de autorização da autoridade de certificação (CAA) proíbe explicitamente a Public CA de emitir certificados para esse domínio. Para mais informações sobre como restringir as CAs que podem emitir certificados para seus domínios, consulte Especificar as CAs que podem emitir seu certificado gerenciado pelo Google.

Alguns pontos importantes a serem considerados ao usar certificados gerenciados pelo Google com o Gerenciador de certificados:

  • O Certificate Manager é compatível com certificados RSA gerenciados pelo Google.
  • Os certificados regionais gerenciados pelo Google só aceitam autorização baseada em DNS e recebem certificados da Public CA.
  • Não é possível usar certificados gerenciados pelo Google como certificados de cliente para TLS mútuo.
  • A validade padrão dos certificados públicos gerenciados pelo Google é de 90 dias para todos os escopos, exceto EDGE_CACHE, que tem validade de 30 dias. Não é possível mudar a validade dos certificados públicos gerenciados pelo Google.

Certificados públicos e privados

O Certificate Manager pode gerenciar certificados públicos e particulares. O Certificate Manager recebe certificados públicos, que geralmente protegem serviços públicos, da Public CA. Os principais navegadores, sistemas operacionais e aplicativos reconhecem a Public CA como uma raiz de confiança. O Certificate Manager recebe certificados particulares, que geralmente protegem serviços particulares, do CA Service.

Certificados autogerenciados

Se você não puder usar certificados gerenciados pelo Google devido aos requisitos da sua empresa, faça upload de certificados emitidos por CAs externas com as chaves associadas. É necessário emitir e renovar esses certificados autogerenciados manualmente.

O recurso Certificate de um certificado autogerenciado precisa incluir o certificado e a cadeia dele. A cadeia de certificados contém certificados intermediários, que ajudam a estabelecer confiança no certificado raiz. É possível adicionar a cadeia de certificados como um único arquivo codificado em PEM ou como um bloco de texto.

Especifique a cadeia de certificados na seguinte ordem:

  1. Certificado de folha
  2. Todos os certificados intermediários

Tipos de chave compatíveis

Os balanceadores de carga são compatíveis com certificados que usam chaves privadas de diferentes tipos. A tabela a seguir mostra o suporte ao tipo de chave, dependendo se os certificados são autogerenciados ou gerenciados pelo Google.
Tipo de certificado SSL arrow_forward

Tipo de chave arrow_downward 		Certificados SSL do Certificate Manager
Global e regional
Autogerenciado Gerenciada pelo Google e confiável publicamente Gerenciada pelo Google e com confiança privada
RSA-2048
RSA-3072
RSA-4096
ECDSA P-256
ECDSA P-384

Autorizações de domínio

Com o Gerenciador de certificados, é possível provar a propriedade dos domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:

  • Autorização do balanceador de carga: implante o certificado diretamente em um balanceador de carga compatível sem criar um registro DNS.

  • Autorização de DNS: implante o certificado diretamente em um balanceador de carga compatível depois de criar registros DNS dedicados para verificar a propriedade do domínio.

Para mais informações, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.

Não é preciso ter autorizações de domínio para certificados autogerenciados.

Mapas de certificados

Um mapa de certificados faz referência a uma ou mais entradas que atribuem certificados específicos a nomes de host específicos. As entradas do mapa de certificados também definem a lógica de seleção que o balanceador de carga segue ao estabelecer conexões de cliente. É possível associar um mapa de certificado a vários proxies de destino para reutilização em vários balanceadores de carga.

Se um cliente solicitar um nome de host especificado em um mapa de certificados, o balanceador de carga vai disponibilizar os certificados mapeados para esse nome de host. Caso contrário, o balanceador de carga vai servir o certificado principal, que é o primeiro certificado listado para um proxy de destino. Para mais informações, consulte Como o Gerenciador de certificados funciona.

Os seguintes balanceadores de carga são compatíveis com mapas de certificados:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de rede de proxy externo global

Para mais informações sobre como criar e gerenciar mapas de certificados, consulte Gerenciar mapas de certificados.

Entradas do mapa de certificados

Um item no mapa de certificados é uma lista de certificados veiculados para um nome de domínio específico. É possível definir diferentes conjuntos de certificados para o mesmo domínio. Por exemplo, é possível fazer upload de um certificado ECDSA e um RSA e mapeá-los para o mesmo nome de domínio.

Quando um cliente se conecta a um nome de domínio, o balanceador de carga negocia o tipo de certificado a ser disponibilizado ao cliente durante o handshake.

É possível associar no máximo quatro certificados a uma única entrada de mapa de certificados.

Para mais informações sobre como criar e gerenciar entradas de mapa de certificados, consulte Gerenciar entradas de mapa de certificados.

Configurações de confiança

Uma configuração de confiança é um recurso que representa a configuração da infraestrutura de chave pública (ICP) no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Ela encapsula um único repositório de confiança, que, por sua vez, encapsula uma âncora de confiança e, opcionalmente, um ou mais certificados intermediários.

Para saber mais sobre a autenticação TLS mútua (mTLS), consulte a visão geral do TLS mútuo na documentação do Cloud Load Balancing.

Para mais informações sobre configurações de confiança e componentes, consulte Gerenciar configurações de confiança.

Lojas de confiança

Um repositório de confiança representa a configuração secreta de confiança no Gerenciador de certificados para uso em cenários de autenticação TLS mútua. Um repositório de confiança encapsula uma única âncora de confiança e, opcionalmente, um ou mais certificados intermediários.

As seguintes limitações se aplicam aos recursos de configuração de confiança:

Âncoras de confiança

Uma âncora de confiança representa um único certificado raiz para uso em cenários de autenticação TLS mútua. Uma âncora de confiança é encapsulada em um repositório de confiança.

Certificados intermediários

Um certificado intermediário é assinado por um certificado raiz ou outro certificado intermediário no repositório de confiança. Os certificados intermediários são usados para autenticação TLS mútua.

Se você tiver certificados intermediários, um ou mais deles poderão ser encapsulados em um repositório de confiança, dependendo da configuração da sua ICP. Além dos certificados intermediários atuais, a configuração de confiança inclui todos os certificados intermediários como parte da avaliação de confiança para todas as solicitações de conexão.

Certificados que exigem uma lista de permissões

Para permitir que os clientes se autentiquem com um certificado autoassinado, expirado ou inválido, adicione o certificado ao campo allowlistedCertificates da configuração de confiança. Também é possível adicionar o certificado se você não tiver acesso aos certificados raiz e intermediários. Não é necessário um repositório de confiança para adicionar um certificado a uma lista de permissões.

Quando você adiciona um certificado à lista de permissões, o Certificate Manager o considera válido se ele atender às seguintes condições:

  • O certificado pode ser analisado.
  • O cliente prova que tem a chave privada do certificado.
  • As restrições no campo "Nome alternativo do assunto" (SAN, na sigla em inglês) são atendidas.

Configurações de emissão de certificados

Uma configuração de emissão de certificado é um recurso que permite que o Certificate Manager use um pool de CA da sua própria instância do Certificate Authority Service para emitir certificados gerenciados pelo Google. Com uma configuração de emissão de certificado, é possível especificar parâmetros para emissão e expiração de certificados, além do algoritmo de chave para certificados emitidos.

Para mais informações sobre como criar e gerenciar configurações de emissão de certificados, consulte Gerenciar recursos de configuração de emissão de certificados.

A seguir