Certificate Manager 概览

借助证书管理器,您可以获取和管理传输层安全协议 (TLS) 证书,以便用于以下负载均衡器资源:

  • 应用负载平衡器使用的目标 HTTPS 代理:

    • 全球外部应用负载均衡器
    • 传统应用负载均衡器
    • 区域级外部应用负载均衡器
    • 区域级内部应用负载均衡器
    • 跨区域内部应用负载均衡器

  • 代理网络负载平衡器使用的目标 SSL 代理:

    • 全球外部代理网络负载均衡器
    • 传统代理网络负载均衡器

借助证书管理器,您还可以在安全 Web 代理代理上部署自行管理的区域级证书和 Google 管理的区域级证书。

如需使用证书管理器,您的负载均衡器需要与相应的网络服务层级兼容。如需详细了解负载均衡器类型及其各自的网络服务层级支持,请参阅 Google Cloud 负载均衡器摘要

您可以使用 Certificate Manager 自动颁发和续订 Google 管理的证书。如果您想使用自己的信任链,而不是依赖 Google 批准的公共证书授权机构 (CA) 来颁发证书,则可以将证书管理器配置为改用 Certificate Authority Service 中的 CA 池作为证书授权机构。

您也可以手动上传以下类型的证书:

  • 由您选择的第三方 CA 颁发的证书
  • 由您控制的 CA 颁发的证书
  • 自签名证书,如创建私钥和证书中所述

证书管理器会安全地存储证书并将其部署到所选代理,以便您提前预配证书,并确保迁移期间的零停机。

借助 Certificate Manager,您最多可以为每个负载均衡器部署一百万个证书。如需了解默认配额以及如何增加配额,请参阅配额和限制

借助 Certificate Manager 灵活的映射机制,您可以大规模地精细控制证书到 Google Cloud 环境中域名的分配。与 Cloud Load Balancing 相比,您可以管理和传送更多的证书。

证书管理器还可以充当公共 CA,在验证证书请求者是否控制网域后提供和部署广受信任的 X.509 证书。借助证书管理器,您可以直接以编程方式请求受大众信任的 TLS 证书,这些证书已存在于主要浏览器、操作系统和应用使用的信任根存储区中。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。如需了解详情,请参阅公共 CA

您可以选择在负载均衡器上使用双向 TLS 身份验证 (mTLS)。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证

何时使用证书管理器

与直接向负载均衡器分配 TLS (SSL) 证书相比,证书管理器具有以下优势。借助证书管理器,您可以执行以下操作:

  • 根据主机名,以在使用 Cloud Load Balancing 时无法实现的非常精细的级别控制证书的分配和选择。
  • 使用 Google Cloud CLI 或 Certificate Manager API 以统一的方式管理所有证书。
  • 为每个目标代理分配 15 个以上的证书。 Certificate Manager 支持每个负载均衡器最多 100 万个证书。
  • 在 Google Cloud 中自动获取和续订 Google 管理的证书。
  • 使用 CA 服务中的 CA 池(而不是 Google 或 Let's Encrypt CA)作为 Google 管理的证书的证书颁发机构。
  • 除了 Cloud Load Balancing 支持的基于负载均衡器的方法之外,您还可以对 Google 管理的证书使用基于 DNS 的网域所有权验证。
  • 对通配符域名(例如 *.myorg.example.com)使用具有 DNS 授权的 Google 管理的证书。具有负载均衡器授权的 Google 管理的证书不支持通配符域名。
  • 提前预配 Google 管理的证书,实现从其他供应商到 Google Cloud 的零停机迁移。
  • 使用 Cloud Monitoring 监控证书的传播和过期情况。

限制

证书管理器具有以下限制:

  • 对于颁发受大众信任的 Google 管理的证书,Certificate Manager 仅支持 Google CA 和 Let's Encrypt CA。
  • 对于颁发私密可信 Google 管理的证书,Certificate Manager 仅支持 Certificate Authority Service。
  • 使用 DNS 授权时,Google 管理的证书的网域(主题备用名称)数量上限为 100;使用负载均衡器授权时,网域(主题备用名称)的上限为 5 个。
  • 您最多可以将四个证书与一个证书映射条目相关联。
  • 对于 Google 管理的证书,它们可支持的域名长度存在限制。如需详细了解域名的长度限制,请参阅 Google 管理的证书的域名长度限制
  • 具有 ALL_REGIONS 范围的证书不支持负载均衡器授权。
  • 以下限制适用于信任配置资源:
    • 一个信任配置资源可以包含一个受信任证书存储区。
    • 一个信任存储区最多可拥有 100 个信任锚。
    • 一个受信任证书存储区最多可包含 100 个中间 CA 证书。

后续步骤