Certificate Manager 概览

借助证书管理器,您可以获取和管理传输层 用于以下负载均衡器资源的安全 (TLS) 证书:

  • 应用负载均衡器使用的目标 HTTPS 代理:

    • 全球外部应用负载均衡器
    • 传统应用负载均衡器
    • 区域级外部应用负载均衡器
    • 区域级内部应用负载均衡器
    • 跨区域内部应用负载均衡器
  • 代理网络负载平衡器使用的目标 SSL 代理:

    • 全局外部代理网络负载均衡器
    • 传统代理网络负载均衡器

借助 Certificate Manager,您还可以在安全 Web 代理代理上部署自行管理的区域级证书和 Google 管理的区域级证书。

如需使用证书管理器,您的负载均衡器需要 与相应的网络服务层级兼容。 全面了解负载均衡器类型及其各自的网络 服务层级支持,请参阅 Google Cloud 负载平衡器摘要

您可以使用证书管理器自动颁发和续订由 Google 管理的证书。如果您想使用自己的信任链 而非依靠 Google 批准的公共证书授权机构 (CA)来颁发 您可以 将证书管理器配置为使用 证书授权机构服务 证书颁发者。

您也可以手动上传以下类型的证书:

  • 您选择的第三方 CA 颁发的证书
  • 由您控制的 CA 颁发的证书
  • 自签名证书,如创建私钥和证书中所述

证书管理器安全地存储和部署 复制到您选择的代理,这样您就可以在 Google Cloud 控制台中 确保迁移期间的零停机

借助 Certificate Manager,您可以为每个负载均衡器部署多达 100 万个证书。有关默认配额和 如何提高这些值,请参阅 配额和限制

借助 Certificate Manager 的灵活映射机制,您可以精细控制如何在 Google Cloud 环境中大规模地将证书分配给域名。与 Cloud Load Balancing 相比,您可以管理和分发更多数量的证书。

证书管理器还可以作为公共 CA 来 在验证后提供和部署广受信任的 X.509 证书 由证书请求者控制的网域 借助 Certificate Manager,您可以直接以编程方式请求已位于主要浏览器、操作系统和应用使用的受信任存储区根目录中的受信任公共 TLS 证书。您可以使用这些 TLS 证书对互联网进行身份验证和加密 流量。如需了解详情,请参阅 公共 CA

您可以选择在负载均衡器上使用双向 TLS 身份验证 (mTLS)。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证

何时使用证书管理器

与直接向负载均衡器分配 TLS (SSL) 证书相比,Certificate Manager 具有以下优势。借助 Certificate Manager,您可以执行以下操作:

  • 根据主机名控制证书的分配和选择 使用 Deployment 时无法提供的非常精细的级别 Cloud Load Balancing
  • 使用 Google Cloud CLI 或 Certificate Manager API 以统一的方式管理您的所有证书。
  • 为每个目标代理分配 15 个以上的证书。 Certificate Manager 最多支持 100 万个证书 进行负载均衡器
  • 在 Google Cloud 中自动获取和续订 Google 管理的证书。
  • 使用 CA 服务中的 CA 池作为证书颁发者 而不是 Google 或 Let's Encrypt CA。
  • 除了 Cloud Load Balancing 支持的基于负载均衡器的方法之外,还可以对 Google 管理的证书使用基于 DNS 的网域所有权验证。
  • 为通配符域名(例如 *.myorg.example.com)使用具有 DNS 授权的 Google 代管的证书。具有负载均衡器授权的 Google 管理的证书不支持通配符域名。
  • 提前预配 Google 管理的证书,实现零停机 从其他供应商迁移到 Google Cloud
  • 使用 Cloud Monitoring 监控证书传播和过期情况。

限制

证书管理器具有以下限制:

  • 如需颁发受大众信任的 Google 管理的证书,请执行以下操作: Certificate Manager 仅支持 Google CA 和 Let's 加密 CA。
  • 对于颁发受私有信任的 Google 管理的证书,Certificate Manager 仅支持 Certificate Authority Service。
  • 使用 DNS 授权时,Google 管理的证书的域名(主体备选名称)数量上限为 100 个;使用负载均衡器授权时,此上限为 5 个。
  • 一个证书最多可以关联 4 个证书 地图条目。
  • Google 管理的证书支持的域名长度有限制。如需详细了解域名长度限制,请参阅 Google 管理的证书的域名长度限制
  • 范围为 ALL_REGIONS 的证书不支持负载均衡器授权。
  • 以下限制适用于信任配置资源:
    • 一个信任配置资源可以包含一个受信任证书存储区。
    • 一个信任存储区最多可拥有 100 个信任锚。
    • 一个受信任证书存储区最多可存放 100 个中间 CA 证书。

后续步骤