本页介绍了使用证书管理器部署证书的步骤。如需详细了解本页面中提及的 Certificate Manager 实体,请参阅 Certificate Manager 的运作方式。
Certificate Manager 支持以下证书类型:
由 Google 管理的证书是 Google 为您获取和管理的证书。 Google Cloud您可以使用 Certificate Manager 创建以下类型的 Google 管理的证书:
自行管理的证书是您自行获取、预配和续订的证书。
下表显示了哪些 Google Cloud 负载平衡器支持 Certificate Manager 自行管理的证书和/或 Google 管理的证书。
| 负载均衡器 | Google 管理的证书 | 自行管理的证书 | ||
|---|---|---|---|---|
| DNS 授权 | 负载均衡器授权 | Certificate Authority Service (CA Service) | ||
| 全球外部应用负载均衡器 | info |
info |
info |
info |
| 传统应用负载均衡器 | info |
info |
info |
info |
| 全局外部代理网络负载均衡器 | info |
info |
info |
info |
| 跨区域内部应用负载均衡器 | info |
info |
info |
|
| 区域级外部应用负载均衡器 | info |
info |
info |
|
| 区域级内部应用负载均衡器 | info |
info |
info |
|
将证书部署到全球外部应用负载平衡器、传统版应用负载平衡器或全球外部代理网络负载平衡器
如需将证书部署到全球外部应用负载平衡器、传统版应用负载平衡器或全球外部代理网络负载平衡器,请使用以下任一方法:
- (推荐)部署由 Google 管理的证书。
- 部署自行管理的证书。
部署由 Google 管理的证书
如需使用 Google 管理的证书将证书部署到全球外部应用负载平衡器、传统版应用负载平衡器或全球外部代理网络负载平衡器,请完成以下步骤:
- 创建 Google 管理的证书,并使用以下任一配置:
- 为此证书配置证书映射:
- 创建证书映射。
- 为需要此证书的主机名添加证书映射条目。
- 可选:为主证书添加证书映射条目,以便在负载平衡器在此证书映射中找不到特定于请求的主机名的证书时使用。
- 验证证书及其对应的证书映射条目是否处于活跃状态。如果您使用的是需要负载平衡器授权的 Google 管理的证书,则只有在您完成以下步骤且证书完成预配后,该证书才会生效。
- 在负载平衡器配置中将证书映射附加到目标代理。
部署自行管理的证书
如需将自行管理的证书部署到全球外部应用负载平衡器、传统版应用负载平衡器或全球外部代理网络负载平衡器,请完成以下步骤:
- 上传自行管理的证书。
- 为此证书配置证书映射:
- 创建证书映射。
- 为需要此证书的主机名添加证书映射条目。
- 可选:为主证书添加证书映射条目,以便在负载平衡器在此证书映射中找不到特定于请求的主机名的证书时使用。
- 验证证书及其对应的证书映射条目是否处于活跃状态。如果您使用的是需要负载平衡器授权的 Google 管理的证书,则只有在您完成以下步骤且证书完成预配后,该证书才会生效。
- 在负载平衡器配置中将证书映射附加到目标代理。
将证书部署到跨区域内部应用负载平衡器
如需将证书部署到跨区域内部应用负载平衡器,请使用以下任一方法:
- (推荐)部署由 Google 管理的证书。
- 部署自行管理的证书。
部署由 Google 管理的证书
如需将 Google 管理的证书部署到跨区域内部应用负载平衡器,请完成以下步骤:
- 创建 Google 管理的证书,并使用以下任一配置:
- 将证书直接附加到目标代理。
部署自行管理的证书
如需将自行管理的证书部署到跨区域内部应用负载平衡器,请完成以下步骤:
将自有证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器
如需将自有证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器,请完成以下步骤:
迁移现有证书
如果您想将现有证书从负载平衡器迁移到 Certificate Manager,请按照将证书迁移到 Certificate Manager 中的说明操作。
如果您想使用双向 TLS 身份验证 (mTLS),请参阅 Cloud 负载均衡文档中的双向 TLS 身份验证部分。
后续步骤
- 部署具有 DNS 授权的 Google 代管的证书(教程)
- 部署具有负载平衡器授权的 Google 代管证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的全球证书(教程)
- 部署区域性自行管理的证书(教程)