Certificate Manager 可简化传输层安全协议 (TLS) 证书的获取、部署和管理。Certificate Manager 支持在 Google Cloud 负载平衡器 Secure Web Proxy 代理上部署全球级和区域级证书,以及在 Media CDN 上部署全球级证书。
支持的负载均衡器
引用目标 HTTPS 代理或目标 SSL 代理 (TargetSslProxy) 的Google Cloud 负载平衡器使用 TLS 证书来加密通过网络发送的信息。
如需使用 Certificate Manager,您的负载均衡器必须与相应的网络服务层级兼容。如需全面了解负载均衡器类型及其各自的网络服务层级支持,请参阅 Google Cloud 负载均衡器摘要。
Certificate Manager 支持以下负载均衡器资源:
| 应用负载平衡器使用的目标 HTTPS 代理 | 代理网络负载平衡器使用的目标 SSL 代理 |
|---|---|
|
|
如需详细了解目标 HTTPS 代理类型与目标 SSL 代理类型之间的区别,请参阅目标代理。
支持的 TLS 证书
Certificate Manager 支持以下类型的 TLS 证书:
Google 管理的证书:由 Google Cloud为您获取和管理的证书。借助 Certificate Manager,您可以自动签发和续订 Google 管理的证书。如果您想使用自己的信任链,而不是依赖公共证书授权机构 (CA) 来颁发证书,则可以将 Certificate Manager 配置为使用来自 Certificate Authority Service 的 CA 池作为证书颁发者。
自行管理的证书:您自行获取、预配和续订的证书。您需要手动将证书上传到 Certificate Manager 并进行管理。您可以使用第三方 CA 或您信任的 CA 颁发的证书,也可以使用自己的自签名证书。
如需详细了解受支持的证书,请参阅证书。
优势
证书管理器具有以下优势:
自动化
- 自动签发、续订和管理由 Google 管理的证书。
- 提前预配 Google 管理的证书,以便无缝迁移到 Google Cloud,实现零停机时间。
安全性
- 安全地存储和部署数百万个证书。
- 使用 Google 管理的证书保护您的配置,无需管理证书私钥。
- 在负载均衡器上实现双向 TLS (mTLS) 身份验证,以增强安全性。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 概览。
灵活性
- 使用基于 DNS 或基于负载平衡器的授权方法验证网域的所有权。
- 您可以选择 Google 管理的证书(由 Google 自动处理)或自行管理的证书(自行获取和管理)。
- 使用 ACME 协议从 Public Certificate Authority 机构获取您管理的端点的公开可信证书。如需了解详情,请参阅公共 CA。
- 使用 Google Cloud 控制台、Google Cloud CLI 或 Certificate Manager API 以统一方式管理所有证书。
- 根据域名控制证书分配和选择。这样一来,您就可以管理和提供比 Compute Engine SSL 证书更多的证书。
- 以精细的粒度控制基于主机名的证书分配和选择。
限制
证书管理器存在以下限制:
- Certificate Manager 仅支持 Public Certificate Authority 机构和 Let's Encrypt CA 颁发公开可信的 Google 管理的证书。
- Certificate Manager 仅支持 Certificate Authority Service 来签发私下可信的 Google 管理的证书。
- 对于 Google 管理的证书,使用 DNS 授权时,主题备用名称 (SAN) 字段中允许的网域数量上限为 100;使用负载均衡器授权时,该上限为 5。
- Google 管理的证书对支持的域名长度有限制。如需了解详情,请参阅由 Google 管理的证书的域名长度限制。
- 范围为
ALL_REGIONS的证书不支持负载均衡器授权。 - 使用全球外部应用负载平衡器或基于 SSL 的全球外部代理网络负载平衡器时,与使用 Compute Engine SSL 证书相比,在某些位置使用 Certificate Manager 可能会导致 TLS 握手延迟时间更长。