Google Cloudは最近、証明書マネージャーのパブリックプレビュー版を導入した。複数の証明書とドメインを管理するために外部HTTPS負荷分散と統合するサービスである。
顧客は、Googleが管理する証明書を自動的に発行および更新したり、サードパーティの認証局(CA)によって生成された証明書をアップロードしたりできる。証明書マネージャーは、選択したプロキシに証明書を保存してデプロイする。GoogleのプロダクトマネージャーのRyan Hurst氏とBabi Seal氏は、新しいサービスの仕組みについて次のように説明している。
このリリース(...)によって、DNSベースの認証を使ってGoogleが管理する証明書をプロビジョニングし、ロードバランスの本番環境が完全にセットアップされる前にそれらを使用できるようにすることができます(...)認証に基づいて証明書を要求する場合、Cloud Certificate Managerは認証局と自動的に連携して、そのドメインの証明書を取得し、その後で更新します。このDNSベースのドメイン制御認証により、ワイルドカード証明書もサポートできます。
Certificate Managerを使うと、顧客は事前に証明書をプロビジョニングして、移行中のダウンタイムを削減し、gcloudツールやCertificate Manager APIを使ってロードバランサーごとに最大100万の証明書を一元的に処理できる。
Amazonが2016年にAWS Certificate Manager(ACM)を導入して以来、マネージド証明書サービスを持つことはプラットフォームでの長期的な機能要求であった。過去にユーザは制限について不満を述べていた。SportskeedaのCTOのSankalp Sharma氏は4年以上前にツイートしていた。
念のために言っておきますが、Google Cloud上でAWS Certificate Managerのようなものを探しています。
マネージド証明書はGoogle App Engineから入手できた。しかし、以前はクラウドプロバイダーに統一されたアプローチがなかった。現状の制限の中で、Certificate Managerは従来の外部HTTP(S)ロードバランサーの証明書をプロビジョニングすることのみができ、Googleが管理する証明書の認証局としてGoogleとLet'sEncryptのみをサポートする。ロードバランサーごとに必要な証明書が少なく、ワイルドカードドメインを使用しないデプロイでも、TLS証明書をロードバランサーに直接割り当てることができる。
Googleは昨年、認証局サービスをリリースした。これは、プライベート認証局のデプロイと管理を自動化する可用性の高いサービスである。どのようにしてクラウドで証明書管理を拡張するかを説明するホワイトペーパーが含まれる。
最初の100個の証明書に対しては、新しいCertificate Managerを使用するための追加料金は発生しない。さらに、証明書ごと月ごとの料金体系で追加の証明書を使用できる。公開プレビュー中は料金はかからない。