本页面介绍了使用 Certificate Manager。如需详细了解 本页中提及的 Certificate Manager 实体,请参阅 Certificate Manager 的工作原理。
证书管理器支持以下证书类型:
Google 管理的证书 为您获取和管理您可以创建以下类型的 使用 Certificate Manager 管理由 Google 管理的证书:
自行管理的证书是您获取、预配和 续订。
下表显示了支持哪些 Google Cloud 负载平衡器 Certificate Manager 自行管理的证书或 Google 管理的证书 两者都有。
| 负载平衡器 | Google 管理的证书 | 自行管理的证书 | ||
|---|---|---|---|---|
| DNS 授权 | 负载均衡器授权 | Certificate Authority Service (CA Service) | ||
| 全球外部应用负载均衡器 | info |
info |
info |
info |
| 传统应用负载均衡器 | info |
info |
info |
info |
| 全局外部代理网络负载均衡器 | info |
info |
info |
info |
| 跨区域内部应用负载均衡器 | info |
info |
info |
|
| 区域级外部应用负载均衡器 | info |
info |
info |
|
| 区域级内部应用负载均衡器 | info |
info |
info |
|
将证书部署到全球外部应用负载均衡器、传统版应用负载均衡器或全球外部代理网络负载均衡器
如需将证书部署到全球外部应用负载均衡器、传统版应用负载均衡器或全球外部代理网络负载均衡器,请使用以下任一方法:
- (推荐)部署 Google 管理的证书。
- 部署自行管理的证书。
部署由 Google 管理的证书
如需使用 Google 管理的证书将证书部署到全球外部应用负载均衡器、传统版应用负载均衡器或全球外部代理网络负载均衡器,请完成以下步骤:
- 创建 Google 管理的证书,并采用以下任一配置:
- 为此证书配置证书映射:
- 创建证书映射。
- 添加证书映射条目 (针对需要此证书的主机名)。
- 可选:为主证书添加证书映射条目,以便在负载均衡器在此证书映射中找不到特定于请求的主机名的证书时使用。
- 验证该证书及其对应的证书映射条目是否 活动状态。如果您将 Google 管理的证书与负载均衡器搭配使用 则证书仅在您完成 且证书完成预配。
- 将证书映射附加到 负载均衡器配置中的目标代理。
部署自行管理的证书
如需将自行管理的证书部署到全球外部应用负载均衡器、传统版应用负载均衡器或全球外部代理网络负载均衡器,请完成以下步骤:
- 上传自行管理的证书。
- 为此证书配置证书映射:
- 创建证书映射。
- 为需要此证书的主机名添加证书映射条目。
- 可选:为主证书添加证书映射条目 指定负载均衡器的专用证书 请求的主机名。
- 验证证书及其对应的证书映射条目是否处于活跃状态。如果您使用的是需要负载均衡器授权的 Google 管理的证书,则只有在您完成以下步骤且证书完成预配后,该证书才会生效。
- 将证书映射附加到 负载均衡器配置中的目标代理。
将证书部署到跨区域内部应用负载均衡器
如需将证书部署到跨区域内部应用负载均衡器,请使用以下任一方法:
- (推荐)部署由 Google 管理的证书。
- 部署自行管理的证书。
部署由 Google 管理的证书
如需将 Google 管理的证书部署到跨区域内部应用负载均衡器,请完成以下步骤:
- 使用以下任一项创建 Google 管理的证书 配置:
- 将证书直接附加到目标代理。
部署自行管理的证书
如需将自行管理的证书部署到跨区域内部应用负载平衡器,请完成 操作步骤:
将自有证书部署到区域级外部应用负载均衡器或区域级内部应用负载均衡器
如需将自有证书部署到区域级外部应用负载均衡器或区域级内部应用负载均衡器,请完成以下步骤:
迁移现有证书
如果您想将现有证书从负载均衡器迁移到 Certificate Manager,请按照将证书迁移到 Certificate Manager 中的说明操作。
如果您想使用双向 TLS 身份验证 (mTLS),请参阅 双向 TLS 身份验证: Cloud Load Balancing 文档。
后续步骤
- 部署具有 DNS 授权的 Google 代管的证书(教程)
- 部署具有负载均衡器授权的 Google 代管证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的全球证书(教程)
- 部署自行管理的区域级证书(教程)