本页面介绍使用 Certificate Manager 部署证书的步骤。如需详细了解本页面上提到的 Certificate Manager 实体,请参阅 Certificate Manager 的工作原理。
证书管理器支持以下证书类型:
Google 管理的证书是 Google Cloud 为您获取和管理的证书。您可以使用证书管理器创建以下类型的 Google 管理的证书:
自行管理的证书是您自行获取、预配和续订的证书。
下表显示了哪些 Google Cloud 负载平衡器支持 Certificate Manager 自行管理的证书和/或 Google 管理的证书。
| 负载均衡器 | Google 管理的证书 | 自行管理的证书 | ||
|---|---|---|---|---|
| DNS 授权 | 负载平衡器授权 | Certificate Authority Service(CA 服务) | ||
| 全球外部应用负载均衡器 | info |
info |
info |
info |
| 传统应用负载均衡器 | info |
info |
info |
info |
| 全局外部代理网络负载均衡器 | info |
info |
info |
info |
| 跨区域内部应用负载均衡器 | info |
info |
info |
|
| 区域级外部应用负载均衡器 | info |
info |
info |
|
| 区域级内部应用负载均衡器 | info |
info |
info |
|
将证书部署到全局外部应用负载平衡器、传统应用负载平衡器或全局外部代理网络负载平衡器
如需将证书部署到全局外部应用负载平衡器、传统应用负载平衡器或全球外部代理网络负载平衡器,请使用以下任一方法:
- (推荐)部署 Google 管理的证书。
- 部署自行管理的证书。
部署 Google 管理的证书
如需使用 Google 管理的证书将证书部署到全局外部应用负载平衡器、传统应用负载平衡器或全球外部代理网络负载平衡器,请完成以下步骤:
- 使用以下任何配置创建一个 Google 管理的证书:
- 为此证书配置证书映射:
- 创建证书映射。
- 为需要此证书的主机名添加证书映射条目。
- 可选:为主证书添加证书映射条目,以便在负载均衡器在此证书映射中找不到特定于所请求主机名的证书时使用。
- 验证该证书及其对应的证书映射条目是否处于活跃状态。如果您使用的是具有负载均衡器授权的 Google 管理的证书,则只有在您完成以下步骤并且证书完成预配后,该证书才会变为有效状态。
- 将证书映射附加到负载均衡器配置中的目标代理。
部署自行管理的证书
如需将自行管理的证书部署到全局外部应用负载平衡器、传统应用负载平衡器或全球外部代理网络负载平衡器,请完成以下步骤:
- 上传自行管理的证书。
- 为此证书配置证书映射:
- 创建证书映射。
- 为需要此证书的主机名添加证书映射条目。
- 可选:为主证书添加证书映射条目,以便在负载均衡器在此证书映射中找不到特定于所请求主机名的证书时使用。
- 验证该证书及其对应的证书映射条目是否处于活跃状态。如果您使用的是具有负载均衡器授权的 Google 管理的证书,则只有在您完成以下步骤并且证书完成预配后,该证书才会变为有效状态。
- 将证书映射附加到负载均衡器配置中的目标代理。
将证书部署到跨区域内部应用负载平衡器
如需将证书部署到跨区域内部应用负载平衡器,请使用以下任意方法:
- (推荐)部署 Google 管理的证书。
- 部署自行管理的证书。
部署 Google 管理的证书
如需将 Google 管理的证书部署到跨区域内部应用负载平衡器,请完成以下步骤:
- 使用以下任何配置创建一个 Google 管理的证书:
- 将证书直接附加到目标代理。
部署自行管理的证书
如需将自行管理的证书部署到跨区域内部应用负载平衡器,请完成以下步骤:
将自行管理的证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器
如需将自行管理的证书部署到区域级外部应用负载平衡器(预览版)或区域级内部应用负载平衡器(预览版),请完成以下步骤:
迁移现有证书
如果要将现有证书从负载均衡器迁移到证书管理器,请按照将证书迁移到证书管理器中的说明操作。
如果要使用双向 TLS 身份验证 (mTLS),请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证。
后续步骤
- 部署具有 DNS 授权的 Google 管理的证书(教程)
- 通过负载均衡器授权部署 Google 管理的证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的全球证书(教程)
- 部署区域级自行管理的证书(教程)(预览版)