此页面由 Cloud Translation API 翻译。

Certificate Manager 概览

Certificate Manager 可简化传输层安全协议 (TLS) 证书的获取、部署和管理。Certificate Manager 支持在 Google Cloud 负载平衡器 Secure Web Proxy 代理上部署全球级和区域级证书，以及在 Media CDN 上部署全球级证书。

支持的负载均衡器

引用目标 HTTPS 代理或目标 SSL 代理 (TargetSslProxy) 的Google Cloud 负载平衡器使用 TLS 证书来加密通过网络发送的信息。

如需使用 Certificate Manager，您的负载均衡器必须与相应的网络服务层级兼容。如需全面了解负载均衡器类型及其各自的网络服务层级支持，请参阅 Google Cloud 负载均衡器摘要。

Certificate Manager 支持以下负载均衡器资源：

应用负载平衡器使用的目标 HTTPS 代理	代理网络负载平衡器使用的目标 SSL 代理
全球外部应用负载均衡器传统应用负载均衡器区域级外部应用负载均衡器区域级内部应用负载均衡器跨区域内部应用负载均衡器	全球外部代理网络负载均衡器传统代理网络负载均衡器

如需详细了解目标 HTTPS 代理类型与目标 SSL 代理类型之间的区别，请参阅目标代理。

Certificate Manager 支持以下类型的 TLS 证书：

Google 管理的证书：由 Google Cloud为您获取和管理的证书。借助 Certificate Manager，您可以自动签发和续订 Google 管理的证书。如果您想使用自己的信任链，而不是依赖公共证书授权机构 (CA) 来颁发证书，则可以将 Certificate Manager 配置为使用来自 Certificate Authority Service 的 CA 池作为证书颁发者。
自行管理的证书：您自行获取、预配和续订的证书。您需要手动将证书上传到 Certificate Manager 并进行管理。您可以使用第三方 CA 或您信任的 CA 颁发的证书，也可以使用自己的自签名证书。

如需详细了解受支持的证书，请参阅证书。

证书管理器具有以下优势：

自动化

安全性

安全地存储和部署数百万个证书。
使用 Google 管理的证书保护您的配置，无需管理证书私钥。
在负载均衡器上实现双向 TLS (mTLS) 身份验证，以增强安全性。如需了解详情，请参阅 Cloud Load Balancing 文档中的双向 TLS 概览。

灵活性

证书管理器存在以下限制：

Certificate Manager 仅支持 Public Certificate Authority 机构和 Let's Encrypt CA 颁发公开可信的 Google 管理的证书。
Certificate Manager 仅支持 Certificate Authority Service 来签发私下可信的 Google 管理的证书。
对于 Google 管理的证书，使用 DNS 授权时，主题备用名称 (SAN) 字段中允许的网域数量上限为 100；使用负载均衡器授权时，该上限为 5。
Google 管理的证书对支持的域名长度有限制。如需了解详情，请参阅由 Google 管理的证书的域名长度限制。
范围为 ALL_REGIONS 的证书不支持负载均衡器授权。
使用全球外部应用负载平衡器或基于 SSL 的全球外部代理网络负载平衡器时，与使用 Compute Engine SSL 证书相比，在某些位置使用 Certificate Manager 可能会导致 TLS 握手延迟时间更长。