GCP ロードバランサーの資産を表示および管理する

GCP 統合コネクタにより、DigiCert® Trust Lifecycle Manager を使用して Google Cloud Platform（GCP）のアプリケーション層およびネットワーク層（プロキシ）のロードバランサーへの証明書展開を管理できます。

Trust Lifecycle Manager で GCP 統合コネクタを追加すると、リンクされた Google Cloud プロジェクト内のサポートされているロードバランサータイプが検出されます。それにより、ロードバランサーの資産が、一元的なInventoryに追加され、監視および管理できるようになります。

Trust Lifecycle Manager のインベントリデータには、証明書と保護されていないエンドポイントが含まれます。これらが検出された場合、Google Cloud プロジェクト、リージョン、ロードバランサー名、転送ルール名が識別されます。

接続が確立されると、Trust Lifecycle Manager を使用して、Trust Lifecycle Manager アカウントで利用可能な任意の CA から証明書を発行し、ライフサイクル管理を自動化し、新しい証明書を GCP ロードバランサーに展開することができます。

サポートされている GCP ロードバランサー

AWS unified connectors support discovery and management of certificates for the following ELB load balancer types.

外部（インターネット接続）

AWS unified connectors support ALB (Layer 7) load balancers with the following capabilities.

GCP ロードバランサータイプ	負荷分散層	プロトコル	Notes
Global external Application Load Balancer Regional external Application Load Balancer	AWS Certificate Manager (ACM) IAM server certificates (older pattern) Up to 25 certificates per ALB listener using SNI	ACM public certificates (RSA, ECDSA) ACM-imported certs (RSA, ECDSA) from any external CA Wildcard and SAN certificates, as long as DNS name matches SNI for multi-domain hosting on single listener	HTTPS listener must reference an ACM certificate in the same region. Can attach multiple certificates to the same HTTPS listener for different hostnames using SNI. Cipher preference and security policies are configured via SSL policies on the listener.

内部

AWS unified connectors support NLB (Layer 4) load balancers with the following capabilities.

GCP ロードバランサータイプ	負荷分散層	プロトコル	Notes
TSL/SSL	AWS Certificate Manager (ACM) IAM server certificates (older pattern) Up to 25 certificates per TLS listener using SNI	ACM public certificates (RSA, ECDSA) ACM-imported certs (RSA, ECDSA) from any external CA Wildcard and SAN certificates	Architectural options: TLS termination at NLB: NLB presents the ACM certificate, decrypts traffic, and forwards plain TCP/HTTP to targets. TLS pass-through (no certificate on NLB): Listener protocol is TCP, TLS terminates on the targets (for example, NGINX or Apache). Certificates live on the target hosts, not the NLB.

Classic Load Balancer (CLB)

AWS unified connectors support legacy CLB (Layer 4/7) load balancers with the following capabilities.

Listener protocols	Certificate storage	Certificate types	Notes
HTTPS SSL	AWS Certificate Manager (ACM) IAM server certificates (older pattern)	ACM public certificates ACM-imported certs from any external CA IAM-uploaded X.509 cert + private key bundles Wildcard and SAN certs	CLB does not support SNI for multiple certificates per HTTPS listener, it only supports one certificate per HTTPS/SSL listener. CLB does not support installation of new certificates on unsecured ports. Host-based routing must be done elsewhere or via separate LBs.

GCP ロードバランサーのインベントリを表示する

GCP 統合コネクタを通して検出された資産には、GCP ロードバランサーと Google Certificate Manager の両方で見つかった証明書が含まれることがあります。GCP 資産をInventoryにロードしてロードバランサーの資産を特定するには、以下の機能を使用します。

コネクタのショートカットリンク

コネクタ詳細ページには、そのコネクタに関連付けられた資産の事前フィルタリング済みインベントリビューをロードするためのショートカットリンクが含まれています。コネクタ詳細ページの［検出された資産］セクションで、以下のショートカットリンクを見つけます。

資産タイプ	説明
管理された証明書	このショートカットリンクは、Trust Lifecycle Manager により GCP ロードバランサー上で見つかった証明書をロードするために使用します。これらの証明書は特定のエンドポイントに関連付けられており、Trust Lifecycle Manager でのライフサイクル自動化の管理対象となるため、「管理されている」と見なされます。このカテゴリには、管理者ウェブ要求機能を使用して Trust Lifecycle Manager で登録され、Google Certificate Manager に配信された証明書も含まれます。
検出された証明書	このショートカットリンクは、Trust Lifecycle Manager により Google Certificate Manager 上で見つかり、Trust Lifecycle Manager から登録/配信されなかった既存の証明書をロードするために使用します。
保護されていない IP/ポート	このショートカットリンクは、Trust Lifecycle Manager により GCP ロードバランサー上で見つかった、現時点で証明書がインストールされていないエンドポイントをロードするために使用します。

GCP 資産用のインベントリフィルタ

Trust Lifecycle Manager の標準のインベントリ機能を使用して、Google Cloud 資産のカスタムビューを作成して保存します。［エンドポイント］インベントリカテゴリでは、GCP ロードバランサー上の証明書を識別するのに以下のフィルタが役立ちます。列が表示されていない場合は、インベントリテーブル設定機能を使用して追加します。

列のヘッダー	フィルタ値
位置	［ホスト名］フィルタを使用して、GCP ロードバランサーの名前を、以下のいずれかの形式で入力します。 Alternatively, use the IP/Port option to filter by specific parts of the listener ARN such as the AWS region (`us-east-1`) or account ID (`123456789012`).
アプリケーション	以下のいずれかの値を選択して、Google Certificate Manager または特定の GCP ロードバランサータイプに関連付けられた資産を表示します。 Google Certificate Manager: `GCP Certificate Manager` Global external Application Load Balancers: `GCP Global Ext App LB` AWS Internal Application Load Balancers: `AWS Internal App LB` AWS Internet-facing Network Load Balancers: `AWS Internet-facing Net LB` AWS Internal Network Load Balancers: `AWS Internal Net LB` AWS Internet-facing Classic Load Balancers: `AWS Internet-facing Classic LB` AWS Internal Classic Load Balancers: `AWS Internal Classic LB`
コネクタ	［Integrations > Connectors］ページに示される GCP 統合コネクタの名前全体または一部を入力します。

GCP ロードバランサー上の証明書を管理する

接続された任意の CA から証明書を登録および展開するための自動化機能を使用することで、Trust Lifecycle Manager Web コンソールから直接、GCP ロードバランサーでの証明書展開を管理できます。

最初に、GCP ロードバランサーに展開する証明書の発行 CA とタイプについての証明書自動化プロファイルを作成します。

重要

GCP ロードバランサー上の証明書管理用に作成する証明書プロファイルで、DigiCert sensor 登録方法を選択します。

一方、証明書を Google Certificate Manager に配信するには、証明書プロファイルで Admin web request 登録方法を選択します。管理者ウェブ要求機能を使用して要求を送信します。

このセクションの内容: