Descripción general del Administrador de certificados
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
El Administrador de certificados simplifica la adquisición, la implementación y la administración de los certificados de seguridad de la capa de transporte (TLS).
El Administrador de certificados admite la implementación de certificados globales y regionales en Google Cloud balanceadores de cargas, certificados regionales en proxies de
Secure Web Proxy y certificados globales
en CDN de Media.
Balanceadores de cargas compatibles
Los balanceadores de cargasGoogle Cloud que hacen referencia a un proxy HTTPS o a un proxy SSL de destino (TargetSslProxy) usan certificados TLS para encriptar la información que se envía a través de la red.
Para usar el Administrador de certificados, el balanceador de cargas debe ser compatible con el nivel de servicio de red correspondiente. Para obtener un desglose completo de los tipos de balanceador de cargas y su respectiva compatibilidad con los niveles de servicio de red, consulta Resumen de los Google Cloud balanceadores de cargas.
El Administrador de certificados admite los siguientes recursos de balanceador de cargas:
Proxies HTTPS de destino que usan los balanceadores de cargas de aplicaciones
Proxies SSL de destino que usan los balanceadores de cargas de red del proxy
Balanceador de cargas de aplicaciones externo global
Balanceador de cargas de aplicaciones clásico
Balanceador de cargas de aplicaciones externo regional
Balanceador de cargas de aplicaciones interno regional
Balanceador de cargas de aplicaciones interno entre regiones
Balanceador de cargas de red del proxy externo global
Balanceador de cargas de red del proxy clásico
Para obtener más información sobre las diferencias entre los tipos de proxy HTTPS y SSL de destino, consulta Proxy de destino.
Certificados TLS admitidos
El Administrador de certificados admite los siguientes tipos de certificados TLS:
Certificados administrados por Google: Son certificados que Google Cloudobtiene y administra por ti. Con el Administrador de certificados, puedes emitir y renovar automáticamente los certificados administrados por Google. Si quieres usar tu propia cadena de confianza en lugar de depender de autoridades certificadoras (AC) públicas para emitir tus certificados, puedes configurar Certificate Manager para que use un grupo de AC del Certificate Authority Service como emisor de certificados.
Certificados autoadministrados: Son certificados que obtienes, aprovisionas y renuevas tú mismo. Subes los certificados de forma manual al Administrador de certificados y los administras. Puedes usar certificados emitidos por AC de terceros o AC de confianza, o tus propios certificados autofirmados.
Para obtener más información sobre los certificados compatibles, consulta Certificados.
Beneficios
El Administrador de certificados ofrece los siguientes beneficios:
Automatización
Emite, renueva y administra automáticamente los certificados administrados por Google.
Aprovisiona los certificados administrados por Google con anticipación para permitir migraciones sin interrupciones a Google Cloud.
Seguridad
Almacena y, luego, implementa millones de certificados de forma segura.
Protege tus configuraciones con certificados administrados por Google, lo que elimina la necesidad de administrar claves privadas de certificados.
Implementa la autenticación de TLS mutua (mTLS) en tu balanceador de cargas para mejorar la seguridad. Para obtener más información, consulta la descripción general de TLS mutua en la documentación de Cloud Load Balancing.
Flexibilidad
Verifica la propiedad de los dominios con métodos de autorización basados en DNS o en balanceadores de cargas.
Elige entre certificados administrados por Google (que Google controla automáticamente) o certificados autoadministrados (que se obtienen y administran de forma independiente).
Usa el protocolo ACME para obtener certificados de confianza pública para los extremos que administras desde la autoridad certificadora pública. Para obtener más información, consulta AC pública.
Administra todos los certificados de forma unificada con la Google Cloud consola, Google Cloud CLI o la API de Certificate Manager.
Controla la asignación y selección de certificados según los nombres de dominio. Esto te permite administrar y entregar una mayor cantidad de certificados que con los certificados SSL de Compute Engine.
Controla la asignación y selección de certificados según los nombres de host a nivel detallado.
Limitaciones
El Administrador de certificados tiene las siguientes limitaciones:
El Administrador de certificados solo admite la autoridad certificadora pública y la AC de Let's Encrypt para emitir certificados administrados por Google de confianza pública.
El Administrador de certificados solo admite Certificate Authority Service para emitir certificados administrados por Google de confianza privada.
La cantidad de dominios permitidos en el campo de nombres alternativos de asunto (SAN) para los certificados administrados por Google se limita a un máximo de 100 cuando se usa la autorización de DNS y a un máximo de cinco cuando se usa la autorización del balanceador de cargas.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-01 (UTC)"],[[["\u003cp\u003eCertificate Manager facilitates the acquisition and management of TLS certificates for various load balancer resources, including Application Load Balancers and proxy Network Load Balancers, as well as regional Secure Web Proxy proxies.\u003c/p\u003e\n"],["\u003cp\u003eIt allows for the use of Google-managed certificates, which can be automatically issued and renewed, or self-managed certificates, including those issued by third-party CAs or self-signed certificates.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers enhanced control over certificate assignment based on hostnames, supporting up to a million certificates per load balancer, significantly more than Cloud Load Balancing's limitations.\u003c/p\u003e\n"],["\u003cp\u003eCertificate Manager offers the ability to manage certificates in a centralized way using the Google Cloud CLI or the API, allowing for advanced control and management.\u003c/p\u003e\n"],["\u003cp\u003eGoogle-managed certificates can be requested directly through Certificate Manager, providing publicly trusted TLS certificates for encrypting internet traffic, and can use DNS authorization.\u003c/p\u003e\n"]]],[],null,["# Certificate Manager overview\n\nCertificate Manager simplifies the acquisition, deployment, and\nmanagement of Transport Layer Security (TLS) certificates.\nCertificate Manager supports deployment of global and regional\ncertificates on Google Cloud load balancers, regional certificates on [Secure Web Proxy](/secure-web-proxy/docs/overview) proxies, and global certificates\non [Media CDN](/media-cdn/docs/overview).\n\nSupported load balancers\n------------------------\n\nGoogle Cloud load balancers that refer to a target HTTPS proxy or a target\nSSL proxy (`TargetSslProxy`) use TLS certificates to encrypt information sent\nover the network.\n\nTo use Certificate Manager, your load balancer must be compatible\nwith the corresponding [Network Service Tier](/network-tiers/docs/overview). For\na comprehensive breakdown of load balancer types and their respective network\nservice tier support, see [Summary of Google Cloud load\nbalancers](/load-balancing/docs/choosing-load-balancer#summary-gclb).\n\nCertificate Manager supports the following load balancer\nresources:\n\nFor more information about the differences between target HTTPS and target SSL\nproxy types, see [Target proxies](/load-balancing/docs/target-proxies).\n\nSupported TLS certificates\n--------------------------\n\nCertificate Manager supports the following types of TLS\ncertificates:\n\n- **Google-managed certificates** : certificates that Google Cloud\n obtains and manages for you. Using Certificate Manager, you\n can automatically issue and renew Google-managed certificates. If you want\n to use your own trust chain rather than rely on public\n certificate authorities (CAs) to issue your certificates, you can configure\n Certificate Manager to [use a CA\n pool](/certificate-authority-service/docs/creating-ca-pool) from the\n Certificate Authority Service as the certificate issuer instead.\n\n- **Self-managed certificates** : certificates that you obtain, provision, and\n renew yourself. You manually upload the certificates to\n Certificate Manager and manage them. You can use certificates\n issued by third-party CAs, or CAs you trust, or your own [self-signed\n certificates](/load-balancing/docs/ssl-certificates/self-managed-certs#create-key-and-cert).\n\nFor more information about the supported certificates, see\n[Certificates](/certificate-manager/docs/how-it-works#certificates).\n\nBenefits\n--------\n\nCertificate Manager offers the following benefits:\n\n**Automation**\n\n- Automatically issue, renew, and manage Google-managed certificates.\n- Provision Google-managed certificates in advance to enable seamless, zero-downtime migrations to Google Cloud.\n\n**Security**\n\n- Securely store and deploy millions of certificates.\n- Secure your configurations with Google-managed certificates, eliminating the need to manage certificate private keys.\n- Implement mutual TLS (mTLS) authentication on your load balancer for enhanced security. For more information, see [Mutual TLS\n overview](/load-balancing/docs/mtls) in the Cloud Load Balancing documentation.\n\n**Flexibility**\n\n- Verify ownership of domains using either DNS-based or load balancer-based authorization methods.\n- Choose between Google-managed certificates (automatically handled by Google) or self-managed certificates (obtained and managed independently).\n- Use the ACME protocol to get publicly trusted certificates for endpoints you manage from the Public Certificate Authority. For more information, see [Public CA](/certificate-manager/docs/public-ca).\n- Manage all certificates in a unified manner using the Google Cloud console, Google Cloud CLI, or the Certificate Manager API.\n- Control certificate assignment and selection based on domain names. This lets you manage and serve larger numbers of certificates than with [Compute Engine SSL certificates](/load-balancing/docs/ssl-certificates#config-tech).\n- Control the assignment and selection of certificates based on hostnames at a granular level.\n\nLimitations\n-----------\n\nCertificate Manager has the following limitations:\n\n- Certificate Manager only supports the Public Certificate Authority and the Let's Encrypt CA for issuing publicly trusted Google-managed certificates.\n- Certificate Manager only supports Certificate Authority Service for issuing privately trusted Google-managed certificates.\n- The number of domains allowed in the Subject Alternative Names (SANs) field for Google-managed certificates is limited to a maximum of 100 when using DNS authorization and to a maximum of five when using load balancer authorization.\n- Google-managed certificates have limitations on the length of supported domain names. For more information, see [Domain name length limitations for\n Google-managed\n certificates](/certificate-manager/docs/quotas#domain_name_length_limitations_for_google-managed_certificates).\n- Certificates with the `ALL_REGIONS` scope don't support load balancer authorization.\n\nWhat's next\n-----------\n\n- [Core components of Certificate Manager](/certificate-manager/docs/core-components)\n- [How Certificate Manager works](/certificate-manager/docs/certificate-selection-logic)"]]
