此页面由 Cloud Translation API 翻译。

Certificate Manager 概览

借助证书管理器，您可以获取和管理传输层用于以下负载均衡器资源的安全 (TLS) 证书：

借助证书管理器，您还可以部署自行管理的区域级以及 Google 管理的区域级证书安全 Web 代理代理。

如需使用证书管理器，您的负载均衡器需要与相应的网络服务层级兼容。全面了解负载均衡器类型及其各自的网络服务层级支持，请参阅 Google Cloud 负载平衡器摘要。

您可以使用 Certificate Manager。如果您想使用自己的信任链而非依靠 Google 批准的公共证书授权机构 (CA)来颁发您可以将证书管理器配置为使用证书授权机构服务证书颁发者。

您也可以手动上传以下类型的证书：

证书管理器安全地存储和部署复制到您选择的代理，这样您就可以在 Google Cloud 控制台中确保迁移期间的零停机

借助 Certificate Manager，您可以部署证书数量。有关默认配额和如何提高这些值，请参阅配额和限制。

Certificate Manager 灵活的映射机制让您可以控制证书到 Google Cloud 中域名的分配环境。您可以管理和提供更多的证书 Cloud Load Balancing 更加强大。

证书管理器还可以作为公共 CA 来在验证后提供和部署广受信任的 X.509 证书由证书请求者控制的网域通过证书管理器，您可以直接以编程方式请求已在主要浏览器、操作系统和应用使用的受信任证书存储区。您可以使用这些 TLS 证书对互联网进行身份验证和加密流量。如需了解详情，请参阅公共 CA。

您可以选择在负载均衡器上使用双向 TLS 身份验证 (mTLS)。有关相关信息，请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证。

何时使用证书管理器

与直接分配证书的您的负载均衡器的 TLS (SSL) 证书。证书管理器可让您执行以下操作：

根据主机名控制证书的分配和选择使用 Deployment 时无法提供的非常精细的级别 Cloud Load Balancing
使用 Google Cloud CLI 以统一方式管理所有证书或 Certificate Manager API。
为每个目标代理分配 15 个以上的证书。 Certificate Manager 最多支持 100 万个证书进行负载均衡器
在内自动获取和续订 Google 管理的证书 Google Cloud
使用 CA 服务中的 CA 池作为证书颁发者而不是 Google 或 Let's Encrypt CA。
在 Google 管理的证书中使用基于 DNS 的域名所有权验证以及 Cloud Load Balancing 支持的基于负载均衡器的方法。
对通配符域名使用具有 DNS 授权的 Google 管理的证书，例如 *.myorg.example.com.不支持具有负载均衡器授权的 Google 管理的证书通配符域名。
提前预配 Google 管理的证书，实现零停机从其他供应商迁移到 Google Cloud
使用 Cloud Monitoring 监控证书的传播和过期情况。

证书管理器具有以下限制：

如需颁发受大众信任的 Google 管理的证书，请执行以下操作： Certificate Manager 仅支持 Google CA 和 Let's 加密 CA。
如需颁发私密可信 Google 管理的证书， Certificate Manager 仅支持 Certificate Authority Service。
Google 管理的网域（主题备用名称）的数量使用 DNS 授权时，证书数量上限为 100，最多不能超过 5 个。
一个证书最多可以关联 4 个证书地图条目。
对于 Google 管理的证书，其支持的所有域名。如需详细了解请参阅适用于由 Google 管理证书。
具有 ALL_REGIONS 范围的证书不支持负载均衡器授权。
以下限制适用于信任配置资源： <ph type="x-smartling-placeholder">
- 一个信任配置资源可以包含一个受信任证书存储区。
- 一个信任存储区最多可拥有 100 个信任锚。
- 一个受信任证书存储区最多可包含 100 个中间 CA 证书。