Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@unfurla

GCPLBのマネージドSSL証明書にGlobalSignが加わっていた話

Last updated at Posted at 2020-08-10

便利ですよね、GCPLBのマネージドSSL。試験環境では大いに利用させてもらってます。
Let's Encryptで作成されているとばかり思っていたのですが(実際これまではそうでした)、ある時、GlobalSignで作成されていることに気がつきました。

Let's Encrypt GlobalSign
LetsEncrypt.png GlobalSign.png

マネージド証明書のCAは選択指定OK

調べてみると、ドキュメントに記載がありました。1

Google マネージド証明書への署名が許可されている CA の指定

DNS サーバー ソフトウェアで、Google マネージド証明書への署名を許可する CA を指定します。pki.goog、letsencrypt.org、またはその両方を選択できます。

pki.goog とは?

pki.goog は、Googleが自社用に運営するルート認証局「Google Trust Services」のことで、 https://pki.goog/ にアクセスすると確認できます(知らなかったのですが、2017年にGlobalSignの認証局R2/R4を買収していたそうです。2)。

認証局にどちらを利用するのか決められるの?

こちらもドキュメントに記載があります。

DNS サーバーソフトウェアで、Google マネージド証明書への署名を許可する CA を指定します。pki.goog、>letsencrypt.org、またはその両方を選択できます。

つまり、DNSサーバーで認証局を指定するCAAレコードを登録しておけば良いわけです。

test.example IN CAA 0 issue "letsencrypt.org"
test.example IN CAA 0 issue "pki.goog"

片方だけ、例えば letsencrypt.org だけ登録しておくと、そちらのみを認証局として利用します。
CAAレコードに両方を登録 or 未登録の場合は、どちらを使うかはGoogleが勝手に選択するようです。

差はあるの?

サポートに聞いたところ、どちらの認証局を利用しても、費用(無料)や制約に違いはないとのこと。
どちらの証明書の有効期間も3ヶ月でした。

まとめ

  • GCPLBのマネージドSSL証明書は現在、Let's Encrypt と GlobalSign の2種類がある。
  • 特に指定をしなければ、どちらかにするかはGoogleが選択する。
  • 指定したい場合は、DNSサーバーにCAAレコードを登録する。ただし、両方登録しておくのがベター

  1. https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs?hl=ja#renewal

  2. https://rms.ne.jp/digital-certificate-news/googletrustservices

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?