Certificate Manager 簡介

憑證管理工具可簡化傳輸層安全標準 (TLS) 憑證的取得、部署和管理作業。Certificate Manager 支援在 Google Cloud 負載平衡器上部署全域和區域性憑證、在 安全網頁 Proxy Proxy 上部署區域性憑證,以及在 Media CDN 上部署全域憑證。

支援的負載平衡器

Google Cloud 參照目標 HTTPS Proxy 或目標 SSL Proxy 的負載平衡器 (TargetSslProxy) 會使用 TLS 憑證,加密透過網路傳送的資訊。

如要使用 Certificate Manager,負載平衡器必須與對應的網路服務級別相容。如要全面瞭解負載平衡器類型及其各自支援的網路服務層級,請參閱「負載平衡器摘要 Google Cloud 」。

Certificate Manager 支援下列負載平衡器資源:

應用程式負載平衡器使用的目標 HTTPS Proxy Proxy 網路負載平衡器使用的目標 SSL Proxy
  • 全域外部應用程式負載平衡器
  • 傳統版應用程式負載平衡器
  • 區域性外部應用程式負載平衡器
  • 區域性內部應用程式負載平衡器
  • 跨區域內部應用程式負載平衡器
  • 全域外部 Proxy 網路負載平衡器
  • 傳統版 Proxy 網路負載平衡器

如要進一步瞭解目標 HTTPS 和目標 SSL Proxy 類型之間的差異,請參閱「目標 Proxy」。

支援的傳輸層安全標準 (TLS) 憑證

Certificate Manager 支援下列類型的 TLS 憑證:

  • Google 代管憑證:由 Google Cloud為您取得及管理的憑證。您可以使用 Certificate Manager 自動核發及續訂 Google 代管的憑證。如要使用自己的信任鏈,而非依賴公開憑證授權單位 (CA) 核發憑證,您可以設定 Certificate Manager,使用憑證授權單位服務中的 CA 集區做為憑證簽發者。

  • 自行管理的憑證:您自行取得、佈建及更新的憑證。您手動將憑證上傳至憑證管理員並進行管理。您可以使用第三方 CA 或您信任的 CA 核發的憑證,也可以使用自己的自行簽署憑證

如要進一步瞭解支援的憑證,請參閱「憑證」。

優點

憑證管理工具具備下列優點:

自動化

  • 自動核發、更新及管理 Google 代管憑證。
  • 請事先佈建 Google 代管的憑證,確保遷移至 Google Cloud時不會中斷服務。

安全性

  • 安全地儲存及部署數百萬個憑證。
  • 使用 Google 代管的憑證保護設定,不必管理憑證私密金鑰。
  • 在負載平衡器上實作相互傳輸層安全性 (mTLS) 驗證,提升安全性。詳情請參閱 Cloud Load Balancing 說明文件中的「相互 TLS 總覽」。

工作彈性

  • 使用 DNS 或負載平衡器授權方法驗證網域擁有權。
  • 您可以選擇 Google 代管憑證 (由 Google 自動處理),也可以選擇自行管理憑證 (自行取得及管理)。
  • 使用 ACME 通訊協定,從公開憑證授權單位取得您管理的端點適用的公開信任憑證。詳情請參閱「公開 CA」。
  • 使用 Google Cloud 控制台、Google Cloud CLI 或 Certificate Manager API,以統一方式管理所有憑證。
  • 根據網域名稱控管憑證指派和選取作業。與 Compute Engine SSL 憑證相比,這項功能可讓您管理及提供更多憑證。
  • 以精細層級,根據主機名稱控制憑證的指派和選取作業。

限制

憑證管理員有下列限制:

  • 憑證管理工具僅支援公開憑證授權單位和 Let's Encrypt CA,可核發公開信任的 Google 管理憑證。
  • 憑證管理工具僅支援憑證授權單位服務,用於核發私下信任的 Google 代管憑證。
  • 使用 DNS 授權時,Google 代管憑證的主體別名 (SAN) 欄位最多可填寫 100 個網域;使用負載平衡器授權時,最多可填寫 5 個網域。
  • Google 代管憑證支援的網域名稱長度有限制。詳情請參閱「Google 代管憑證的網域名稱長度限制」。
  • 範圍為 ALL_REGIONS 的憑證不支援負載平衡器授權。
  • 使用全域外部應用程式負載平衡器或以 SSL 為基礎的全域外部 Proxy 網路負載平衡器時,在某些位置,使用 Certificate Manager 的 TLS 交握延遲時間可能會比使用 Compute Engine SSL 憑證更長。

後續步驟