Концепции Certificate Manager

Certificate Manager — сервис для управления TLS-сертификатами в Yandex Cloud. С помощью сервиса вы можете получать и обновлять сертификаты от Let's Encrypt, а также добавлять собственные сертификаты.

Типы сертификатовТипы сертификатов

В Certificate Manager поддерживаются два типа сертификатов:

• Сертификаты от Let's Encrypt (Managed) — это сертификаты, которые выписываются с помощью Let's Encrypt и находятся под управлением сервиса Certificate Manager. Подробнее об этом типе читайте в разделе Сертификат от Let's Encrypt.
• Пользовательские (Imported) — это сертификаты, добавленные пользователем. За своевременным обновлением такого сертификата вы следите самостоятельно. Подробнее об этом типе читайте в разделе Пользовательский сертификат.

Статусы сертификатовСтатусы сертификатов

Жизненный цикл и набор статусов сертификата зависит от его типа.

• Сертификаты от Let's Encrypt (Managed) могут находиться в следующих статусах:
  • Validating — сертификат запрошен у Let's Encrypt и ждет успешного прохождения процедуры проверки прав на домены.
  • Issued — сертификат получен и может быть использован в сервисах, интегрированных с Certificate Manager.
  • Invalid — сертификат не прошел проверку: процедура проверки прав на домены заняла больше одной недели или завершилась ошибкой.
    • Renewing — сертификат обновляется.
    • Renewal_failed - сертификат не удалось обновить.
• Пользовательские (Imported) сертификаты всегда находятся в статусе Issued — сертификат получен и может быть использован в сервисах, интегрированных с Certificate Manager.

Уведомление пользователяУведомление пользователя

Если срок действия сертификата истекает и сертификат не удалось перевыпустить автоматически, вам будут отправлены уведомления с просьбой пройти процедуру проверки домена или самостоятельно загрузить новую версию сертификата.

Куда отправляются уведомленияКуда отправляются уведомления

Уведомления будут отправлены на:

• Адрес электронной почты, указанный в настройках облака.
• Дополнительные адреса, подписанные на уведомления.

Когда отправляются уведомленияКогда отправляются уведомления

Срок отправки уведомлений:

• За 21, 7 и 3 дня до окончания срока действия сертификата.
• После окончания срока действия.

Мониторинг состояния сертификатовМониторинг состояния сертификатов

Вы можете настроить метрики и алерты для мониторинга сертификатов. Графики метрик вы можете увидеть на сервисном дашборде, который создается автоматически.

Список метрик сертификата:

• certificate.days_until_expiration — показывает вещественное число дней до наступления момента, после которого сертификат прекратил свое действие.

  Метрика может использоваться для создания алертов, предупреждающих о скором истечении срока действия сертификата.

• certificate.is_out_of_order — показывает, может ли сертификат быть использован для обеспечения TLS-соединения.

  • Метрика равна единице, если сертификат не может быть использован для обеспечения TLS-соединения: находится в состоянии Invalid или Revoked, или срок его действия истек.

  • В любых других случаях метрика равна нулю, в том числе, когда сертификат находится в состоянии Validating.

    Метрика может использоваться для создания алертов, предупреждающих о неработоспособности сертификата.

• quota.certificates_count.usage — показывает текущее потребление квоты количества сертификатов на облако.

• quota.certificates_count.limit — показывает текущее ограничение количества сертификатов на облако.

Вы можете использовать метрики для создания алертов. Подробнее об этом читайте в разделе Добавить алерт для сертификата.

См. такжеСм. также

• Интегрированные с Certificate Manager сервисы.
• Проверка прав на домен.