Certificate Manager 概览

通过 Certificate Manager,您可以获取和管理传输层安全协议 (TLS) 证书,以便与以下负载平衡器资源搭配使用:

  • 应用负载平衡器使用的目标 HTTPS 代理:

    • 全球外部应用负载均衡器
    • 传统应用负载均衡器
    • 区域级外部应用负载均衡器
    • 区域级内部应用负载均衡器
    • 跨区域内部应用负载均衡器

  • 代理网络负载平衡器使用的目标 SSL 代理:

    • 全局外部代理网络负载均衡器
    • 传统代理网络负载均衡器

借助 Certificate Manager,您还可以在安全 Web 代理代理上部署自行管理的区域级证书和 Google 管理的区域级证书。

如需使用证书管理器,您的负载平衡器需要与相应的网络服务层级兼容。如需全面了解负载平衡器类型及其各自的网络服务层级支持,请参阅负载平衡器 Google Cloud 摘要

您可以使用证书管理器自动颁发和续订由 Google 管理的证书。如果您想使用自己的信任链,而不是依赖 Google 批准的公共证书授权机构 (CA) 来颁发证书,则可以将 Certificate Manager 配置为使用 Certificate Authority Service 中的 CA 池作为证书颁发者。

您还可以手动上传以下类型的证书:

  • 您选择的第三方 CA 颁发的证书
  • 由您控制的 CA 颁发的证书
  • 自签名证书,如创建私钥和证书中所述

证书管理器可安全地存储证书并将其部署到您选择的代理,让您可以提前预配证书,并有助于确保迁移期间零停机。

借助 Certificate Manager,您可以为每个负载平衡器部署多达 100 万个证书。如需了解默认配额以及如何增加配额,请参阅配额和限制

借助 Certificate Manager 的灵活映射机制,您可以精细控制如何在 Google Cloud环境中大规模地将证书分配给域名。与 Cloud Load Balancing 相比,您可以管理和分发更多数量的证书。

证书管理器还可以充当公共 CA,在验证证书请求者是否控制相应网域后,提供和部署广泛受信任的 X.509 证书。借助 Certificate Manager,您可以以编程方式直接请求已位于主要浏览器、操作系统和应用使用的受信任存储区根目录中的受信任公共 TLS 证书。您可以使用这些 TLS 证书对互联网流量进行身份验证和加密。如需了解详情,请参阅公共 CA

您可以选择在负载平衡器上使用双向 TLS 身份验证 (mTLS)。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证

何时使用证书管理器

与直接向负载平衡器分配 TLS (SSL) 证书相比,证书管理器具有以下优势。借助 Certificate Manager,您可以执行以下操作:

  • 在使用 Cloud Load Balancing 时无法实现的高度精细级别,控制基于主机名的证书分配和选择。
  • 使用 Google Cloud CLI 或 Certificate Manager API 以统一的方式管理您的所有证书。
  • 为每个目标代理分配超过 15 个证书。Certificate Manager 支持为每个负载平衡器附加多达 100 万个证书。
  • 在Google Cloud中自动获取和续订 Google 管理的证书。
  • 将 CA 服务中的 CA 池用作 Google 管理的证书的证书颁发机构,而不是 Google 或 Let's Encrypt CA。
  • 除了 Cloud Load Balancing 支持的基于负载平衡器的方法之外,还可以对 Google 管理的证书使用基于 DNS 的网域所有权验证。
  • 为通配符域名(例如 *.myorg.example.com)使用具有 DNS 授权的 Google 代管的证书。具有负载平衡器授权的 Google 管理的证书不支持通配符域名。
  • 提前预配 Google 管理的证书,从而实现从其他供应商到 Google Cloud的零停机迁移。
  • 使用 Cloud Monitoring 监控证书传播和过期情况。

限制

证书管理器存在以下限制:

  • 如需颁发受公众信任的 Google 管理型证书,Certificate Manager 仅支持 Google CA 和 Let's Encrypt CA。
  • 对于颁发受私有信任的 Google 管理的证书,Certificate Manager 仅支持 Certificate Authority Service。
  • 使用 DNS 授权时,Google 管理的证书的域名(正文备选名称)数量上限为 100 个;使用负载平衡器授权时,此上限为 5 个。
  • 您最多可以将 4 个证书与单个证书映射条目相关联。
  • Google 管理的证书支持的域名长度有限制。如需详细了解域名长度限制,请参阅 Google 管理的证书的域名长度限制
  • 范围为 ALL_REGIONS 的证书不支持负载平衡器授权。
  • 信任配置资源存在以下限制:
    • 信任配置资源可以包含单个信任库。
    • 一个受信任证书存储区最多可存储 100 个信任锚。
    • 一个受信任证书存储区最多可存储 100 个中间 CA 证书。

后续步骤