证书管理器概览

借助 Certificate Manager,您可以获取和管理传输层安全协议 (TLS) 证书,以便用于以下负载均衡器资源:

  • 应用负载平衡器使用的目标 HTTPS 代理:

    • 全球外部应用负载均衡器
    • 传统应用负载均衡器
    • 区域级外部应用负载均衡器
    • 区域级内部应用负载均衡器
    • 跨区域内部应用负载均衡器

  • 代理网络负载平衡器使用的目标 SSL 代理:

    • 全球外部代理网络负载均衡器
    • 传统代理网络负载均衡器

利用证书管理器,您还可以在安全 Web 代理代理上部署自行管理的区域级证书和区域级 Google 管理的证书。

如需使用 Certificate Manager,您的负载均衡器需要与相应的 Network Service Tier 兼容。如需了解负载均衡器类型及其各自的网络服务层级支持,请参阅 Google Cloud 负载均衡器摘要

您可以使用 Certificate Manager 自动颁发和续订 Google 管理的证书。如果您想使用自己的信任链,而不是依靠 Google 批准的公共证书授权机构 (CA) 来颁发证书,可以将 Certificate Manager 配置为使用 Certificate Authority Service 的 CA 池作为证书颁发者。

您也可以手动上传以下类型的证书:

  • 您选择的第三方 CA 颁发的证书
  • 由您控制的 CA 颁发的证书
  • 自签名证书,如创建私钥和证书中所述

Certificate Manager 会将证书安全地存储并部署到所选代理,以便您提前预配证书,并有助于确保迁移期间零停机。

借助 Certificate Manager,您最多可以为每个负载均衡器部署一百万个证书。如需了解默认配额以及如何增加配额,请参阅配额和限制

借助 Certificate Manager 灵活的映射机制,您可以在 Google Cloud 环境中大规模精确地控制证书与域名的分配。与 Cloud Load Balancing 相比,您可以管理和提供更多证书。

在验证证书请求者是否能够控制网域后,Certificate Manager 还可充当公共 CA,以提供和部署广受信任的 X.509 证书。借助证书管理器,您可以直接以编程方式请求可信的 TLS 证书,这些证书已存在于主流浏览器、操作系统和应用使用的信任存储区的根中。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。如需了解详情,请参阅公共 CA

您可以选择在负载均衡器上使用双向 TLS 身份验证 (mTLS)。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证

何时使用证书管理器

与直接将 TLS (SSL) 证书分配给负载均衡器相比,Certificate Manager 具有以下优势。利用 Certificate Manager,您可以执行以下操作:

  • 可以在使用 Cloud Load Balancing 时无法实现的高度精细化,根据主机名控制证书的分配和选择。
  • 使用 Google Cloud CLI 或 Certificate Manager API 以统一方式管理所有证书。
  • 为每个目标代理分配 15 个以上的证书。 Certificate Manager 支持每个负载均衡器多达 100 万个证书。
  • 在 Google Cloud 中自动获取和续订 Google 管理的证书。
  • 使用 CA Service 的 CA 池作为 Google 管理的证书(而不是 Google 或 Let's Encrypt CA)的证书颁发者。
  • 除了 Cloud Load Balancing 支持的基于负载均衡器的方法之外,还对 Google 管理的证书使用基于 DNS 的网域所有权验证。
  • 使用具有通配符域名的 DNS 授权的 Google 管理证书,例如 *.myorg.example.com。具有负载均衡器授权的 Google 管理的证书不支持通配符域名。
  • 提前预配 Google 管理的证书,实现从其他供应商到 Google Cloud 的零停机迁移。
  • 使用 Cloud Monitoring 监控证书的传播和有效期。

限制

证书管理器具有以下限制:

  • 对于公开信任的 Google 管理的证书,Certificate Manager 仅支持 Google CA 和 Let's Encrypt CA。
  • 对于颁发私密可信 Google 管理的证书,Certificate Manager 仅支持 Certificate Authority Service。
  • Google 管理的证书的网域(主题备用名称)数量限制为使用 DNS 授权时最多 100 个,使用负载均衡器授权时最多为 5 个。
  • 您最多可以将 4 个证书与单个证书映射条目关联。
  • 对于 Google 管理的证书,其可支持的域名长度存在限制。如需详细了解域名的长度限制,请参阅 Google 管理的证书的域名长度限制
  • 范围为 ALL_REGIONS 的证书不支持负载均衡器授权。
  • 信任配置资源存在以下限制:
    • 一个信任配置资源可以包含一个信任存储区。
    • 一个受信任证书存储区最多可以容纳 100 个信任锚。
    • 一个受信任证书存储区最多可以保存 100 个中间 CA 证书。

后续步骤