Certificate Manager 使用灵活的映射机制,可让您精细控制可分配的证书以及如何为环境中的每个网域名提供证书。
下图显示了负载均衡器转发规则中指定的典型目标代理的 Certificate Manager 组件之间的关系:
如需详细了解 Certificate Manager 的组件,请参阅核心组件。
证书选择逻辑
概括来讲,负载均衡器选择证书的方式如下:
客户端发起握手,即向负载均衡器后面的服务发出连接请求。
在握手期间,客户端会向负载均衡器提供客户端用于完成握手的加密算法列表,以及(可选)其尝试访问的主机名。此主机名也称为服务器名称指示 (SNI)。
收到请求后,负载均衡器会选择证书以完成安全握手。
完全匹配的主机名:如果客户端提供的主机名与预配的证书映射中的主机名条目完全匹配,则负载平衡器会选择相应的证书。
通配符主机名匹配:如果客户端的主机名与预配的证书映射中的任何主机名条目都不匹配,但与证书映射条目中的通配符主机名匹配,则负载平衡器会选择相应的证书。
例如,配置为
*.myorg.example.com的通配符条目涵盖myorg.example.com网域中的一级子网域。通配符条目不涵盖更深层级的子网域,例如sub.subdomain.myorg.example.com。没有完全匹配或通配主机名:如果客户端的主机名与预配的证书映射中的任何主机名条目都不匹配,则负载均衡器会选择主证书映射条目。
握手失败:如果客户端未提供主机名,并且未配置主证书映射条目,则握手会失败。
证书优先级
选择证书时,负载均衡器会根据以下因素确定证书的优先级:
- 证书类型。如果客户端支持 ECDSA 证书,负载均衡器会优先使用 ECDSA 证书,而不是 RSA 证书。如果客户端不支持 ECDSA 证书,负载均衡器会改为提供 RSA 证书。
- 证书大小。由于证书越小,占用的带宽就越少,因此负载均衡器会优先处理较小的证书,而不是较大的证书。
通配符域名
以下规则适用于通配网域名称:
- 只有具有 DNS 授权的 Google 管理的证书和具有 CA 服务的 Google 管理的证书支持通配符网域名。具有负载均衡器授权的 Google 管理的证书不支持通配符域名。
- 如果条目中同时定义了完全匹配项和通配符,则完全匹配项优先于通配符。例如,如果您为
www.myorg.example.com和*.myorg.example.com配置了证书映射条目,则针对www.myorg.example.com的连接请求始终会选择www.myorg.example.com的条目,即使*.myorg.example.com的条目也存在也是如此。 - 通配符域名仅匹配第一级子网域。例如,针对
host1.myorg.example.com的连接请求会为*.myorg.example.com选择一个证书映射条目,但不会为host1.hosts.myorg.example.com选择一个。
证书续期
Google 管理的证书会自动续订。您必须手动续订自有证书。如有必要,您可以在证书到期之前为其配置 Cloud Logging 提醒。如需了解详情,请参阅配置日志提醒。