自行管理的 SSL 证书是您自行获取、预配和续订的证书。您可以使用此资源来确保客户端与负载均衡器之间的通信安全。
自行管理的证书可以是以下证书类型的任意组合:
- 网域验证 (DV)
- 组织验证 (OV)
- 扩展验证 (EV)
以下负载均衡器支持自行管理的证书:
- 全球证书
- 全球外部应用负载均衡器
- 传统应用负载均衡器
- 外部代理网络负载均衡器(使用目标 SSL 代理)
- 区域证书
- 区域级外部应用负载均衡器
- 区域级内部应用负载均衡器
本页介绍获取有效 Compute Engine 证书,然后上传证书以创建 Google Cloud SSL 证书资源的过程。
如需使用 Certificate Manager 创建 Google 管理的证书,请参阅部署概览。
须知事项
- 请确保您熟悉 SSL 证书概览。
- 请确保您拥有要用于自行管理的 SSL 证书的域名。如果您使用的是 Cloud Domains,请参阅第 1 步:使用 Cloud Domains 注册域名。
权限
如需执行本指南中的任务,您必须能够在项目中创建和修改 SSL 证书。如果存在以下任一情况,您可以执行此操作:
- 您是 Project Owner 或 Project Editor(
roles/owner
或roles/editor
)。 - 您在项目中同时拥有 Compute Security Admin 角色 (
compute.securityAdmin
) 和 Compute Network Admin 角色 (compute.networkAdmin
)。 - 您在项目中拥有自定义角色,该角色包含
compute.sslCertificates.*
权限以及compute.targetHttpsProxies.*
和/或compute.targetSslProxies.*
,具体取决于您使用的负载均衡器类型。
第 1 步:创建私钥和证书
如果您已具有证书授权机构 (CA) 颁发的私钥和证书,请跳过此部分并转到创建 SSL 证书资源。
选择或创建私钥
Google Cloud SSL 证书同时包含私钥和证书本身,两者均采用 PEM 格式。您的私钥必须符合以下条件:
- 必须采用 PEM 格式。
- 无法通过密码进行保护。Google Cloud 以专属加密格式存储您的私钥。
- 其加密算法必须是 RSA-2048 或 ECDSA P-256。
如需创建新的私钥,请使用以下 OpenSSL 命令之一。
创建 RSA-2048 私钥:
openssl genrsa -out PRIVATE_KEY_FILE 2048
创建 ECDSA P-256 私钥:
openssl ecparam -name prime256v1 -genkey -noout -out PRIVATE_KEY_FILE
将 PRIVATE_KEY_FILE 替换为新私钥文件的路径和文件名。
创建证书签名请求 (CSR)
拥有私钥后,您便可以使用 OpenSSL 生成 PEM 格式的证书签名请求 (CSR)。您的 CSR 必须符合以下条件:
- 必须采用 PEM 格式。
- 必须具有公用名 (
CN
) 或主题备用名称 (SAN
) 特性。实际上,您的证书应该同时包含CN
和SAN
特性(即使是用于单个网域),这是因为,现代的客户端(例如 macOS 和 iOS 的当前版本)不仅仅依赖于CN
特性。
如需创建 CSR,请按照以下步骤操作:
创建一个 OpenSSL 配置文件。 在以下示例中,主题备用名称是在
[sans_list]
中定义的。cat <<'EOF' >CONFIG_FILE [req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @sans_list [dn_requirements] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) commonName = Common Name (e.g. server FQDN or YOUR name) emailAddress = Email Address [sans_list] DNS.1 = SUBJECT_ALTERNATIVE_NAME_1 DNS.2 = SUBJECT_ALTERNATIVE_NAME_2 EOF
运行以下 OpenSSL 命令以创建证书签名请求 (CSR) 文件。该命令是交互式的;系统会提示您输入特性(主题备用名称除外,您已在上一步中在 CONFIG_FILE 的
[sans_list]
中定义了)。openssl req -new -key PRIVATE_KEY_FILE \ -out CSR_FILE \ -config CONFIG_FILE
对于这两个步骤,请替换以下内容:
- CONFIG_FILE:OpenSSL 配置文件的路径,包括文件名(您可以在完成此过程后删除该文件)
SUBJECT_ALTERNATIVE_NAME_1 和 SUBJECT_ALTERNATIVE_NAME_2:证书的主题备用名称
如果您的证书仅用于一个主机名,则仅应定义一个与公用名匹配的主题备用名称。如果您需要的主题备用名称超过两个,请将其添加到配置文件中,注意递增
DNS
后面的数字(DNS.3
、DNS.4
等等)。PRIVATE_KEY_FILE:私钥文件的路径
CSR_FILE:CSR 的路径,包括文件名
为 CSR 签名
当证书授权机构 (CA) 为您的 CSR 签名时,会使用其专属私钥来创建证书。使用以下任一方法为 CSR 签名:
使用受大众信任的 CA
如果您请求由受大众信任的 CA 为您的 CSR 签名,则所有信任该公共 CA 的客户端都会信任生成的证书。公共 CA 只需要您的 CSR 即可生成签名证书。
使用您自己的内部 CA
如果您管理着自己的 CA,则可以使用它来为 CSR 签名。如果您的客户端也已配置为信任您自己的 CA,则使用您的 CA 为 CSR 签名会创建内部信任的证书。
使用自签名证书
如果您使用用于创建 CSR 的同一私钥为 CSR 签名,则表示您已经创建了自签名证书。自签名证书只能用于测试用途。
Google Cloud 不支持自签名服务器证书的客户端验证。因此,您必须将客户端配置为跳过证书验证。例如,您可以创建一个网络浏览器客户端,该客户端显示一条消息,询问您是否要信任自签名证书。
如果您管理着自己的 CA,或者想要创建用于测试的自签名证书,则可以使用以下 OpenSSL 命令:
openssl x509 -req \ -signkey PRIVATE_KEY_FILE \ -in CSR_FILE \ -out CERTIFICATE_FILE \ -extfile CONFIG_FILE \ -extensions extension_requirements \ -days TERM
请替换以下内容:
- PRIVATE_KEY_FILE:您的 CA 的私钥路径;如果创建用于测试的自签名证书,则此私钥与用于创建 CSR 的私钥为同一个。
- CSR_FILE:CSR 的路径
- CERTIFICATE_FILE:要创建的证书文件的路径
- TERM:对证书进行验证的客户端认定该证书有效的天数(从现在起算)
公用名中的通配符
自行管理的 SSL 证书可在公用名中使用通配符。例如,公用名为 *.example.com.
的证书与主机名 www.example.com
和 foo.example.com
匹配,但与 a.b.example.com
或 example.com
不匹配。当负载均衡器选择证书时,它始终会先将主机名与不带通配符的证书进行匹配,然后再与带通配符的证书进行匹配。
带通配符片段(例如 f*.example.com
)的证书不受支持。
第 2 步:创建自行管理的 SSL 证书资源
您必须拥有私钥和证书,然后才能创建 Google Cloud SSL 证书资源。如果您尚未创建或获得私钥和证书,请参阅创建私钥和证书。
创建证书后,您无法将其范围从全球更改为区域级,也无法将其范围从区域级更改为全球。
控制台
您可以在 Google Cloud 控制台中的经典证书标签页上使用全球 SSL 证书。无法在 Google Cloud 控制台中创建区域级 SSL 证书。使用 gcloud
或 REST API。
- 转到 Google Cloud 控制台中的经典证书标签页。
转到“经典证书”标签页 - 点击创建 SSL 证书。
- 为证书输入名称和可选说明。
- 选择上传我的证书。
- 粘贴您的证书,或点击上传以导航到您的证书文件。
您可以选择将 CA 证书链包含到证书所在的文件中。Google Cloud 不会为您验证证书链,您必须自行负责验证。 - 粘贴您的私钥,或点击上传以导航到您的私钥文件。
- 点击创建。
gcloud
如需创建全球 SSL 证书,请使用带有 --global
标志的 gcloud compute ssl-certificates
create
命令:
gcloud compute ssl-certificates create CERTIFICATE_NAME \ --certificate=CERTIFICATE_FILE \ --private-key=PRIVATE_KEY_FILE \ --global
如需创建区域级 SSL 证书,请使用带有 --region
标志的 gcloud compute ssl-certificates
create
命令:
gcloud compute ssl-certificates create CERTIFICATE_NAME \ --certificate=CERTIFICATE_FILE \ --private-key=PRIVATE_KEY_FILE \ --region=REGION
替换以下内容:
- CERTIFICATE_NAME:要创建的证书资源的名称
CERTIFICATE_FILE:PEM 格式的证书文件的路径
您可以选择将 CA 证书链包含到证书所在的文件中。Google Cloud 不会为您验证证书链 - 您需要自行负责验证。
PRIVATE_KEY_FILE:PEM 格式的私钥的路径;私钥无法通过密码进行保护
REGION:区域性 SSL 证书的区域(如果适用)。
如果此证书资源用于内部应用负载均衡器或区域外部应用负载均衡器,则该区域必须与负载均衡器所在的区域相同。
API
如需使用 API 方法,您必须先读取证书和私钥文件,因为 API 请求必须发送这些文件的内容。
读取证书和私钥文件,然后创建 SSL 证书。以下示例显示了如何使用 Python 执行此操作。
对于全球 SSL 证书,请使用 sslCertificates.insert API 方法:
对于区域级 SSL 证书,请使用 regionSslCertificates.insert API 方法:
如需查看其他代码示例,请参阅 API 参考页面。
第 3 步:将 SSL 证书与目标代理相关联
您必须将至少一个 SSL 证书与每个目标 HTTPS 或 SSL 代理相关联。您可以为目标代理配置多个 SSL 证书,但总数量不能超过每个目标 HTTPS 或目标 SSL 代理的 SSL 证书数量上限。您可以在同一个目标代理上引用多个自行管理的证书。
控制台
使用 Google Cloud 控制台修改现有负载均衡器时,SSL 证书会自动与相应的目标代理相关联。
gcloud
如需将全球 SSL 证书与目标 HTTPS 代理相关联,请使用带 --global
和 --global-ssl-certificates
标志的 gcloud compute target-https-proxies
update
命令:
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --global \ --ssl-certificates=SSL_CERTIFICATE_LIST \ --global-ssl-certificates
如需将全球 SSL 证书与目标 SSL 代理相关联,请使用 gcloud compute target-ssl-proxies
update
命令:
gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_LIST
如需将区域级 SSL 证书与目标 HTTPS 代理相关联,请使用带有 --region
和 --ssl-certificates-region
标志的 gcloud compute target-https-proxies
update
命令:
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --region=REGION \ --ssl-certificates=SSL_CERTIFICATE_LIST \ --ssl-certificates-region=REGION
请替换以下内容:
TARGET_PROXY_NAME
:负载均衡器的目标代理名称REGION
(如果适用):区域性目标代理和区域性 SSL 证书的区域;区域必须匹配SSL_CERTIFICATE_LIST
:以英文逗号分隔的 Google Cloud SSL 证书名称列表确保引用的证书列表包含所有旧的有效 SSL 证书,以及新的 SSL 证书。
gcloud compute target-ssl-proxies update
命令会使用新值替换--ssl-certificates
的原始值。
API
如需将全球 SSL 证书与目标 HTTPS 代理相关联,请向 targetHttpsProxies.insert
方法发出 POST
请求,并将 PROJECT_ID
替换为您的项目 ID。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy { "name": "l7-xlb-proxy", "urlMap": "projects/PROJECT_ID/global/urlMaps/l7-xlb-map", "sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME }
如需将全球 SSL 证书与目标 HTTPS 代理相关联,请向 targetSslProxies.insert
方法发出 POST
请求,并将 PROJECT_ID
替换为您的项目 ID。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxy { "name": "l7-ssl-proxy", "sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME }
如需将区域 SSL 证书与目标 HTTPS 代理相关联,请向 targetHttpsProxies.insert
方法发出 POST
请求,并将 PROJECT_ID
替换为您的项目 ID。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy { "name": "l7-xlb-proxy", "urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-map", "region": "us-west1" "sslCertificates": /projectsPROJECT_IDregions/us-west1/sslCertificates/SSL_CERT_NAME }
第 4 步:更新 DNS A 和 AAAA 记录以指向负载均衡器的 IP 地址
在您的注册商网站、DNS 主机或 ISP(管理 DNS 记录的任何位置)上,为您的网域和任何子网域添加或更新 DNS A 记录(对于 IPv4)和 DNS AAAA 记录(对于 IPv6),使其指向与负载均衡器的一条或多条转发规则关联的 IP 地址。
如果您使用的是 Cloud DNS 和 Cloud Domains,请设置您的域名并更新您的域名服务器。
如果您对单个证书使用多个网域,则必须为所有网域和任何子网域添加或更新 DNS 记录,以使其全部指向负载均衡器的 IP 地址。
等待 DNS 传播完成后,您可以通过运行 dig
命令来验证设置。例如,假设您的网域是 www.example.com
。运行以下 dig
命令:
dig www.example.com
; <<>> DiG 9.10.6 <<>> www.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;www.example.com. IN A ;; ANSWER SECTION: www.example.com. 1742 IN CNAME www.example.com.edgekey.net. www.example.com.edgekey.net. 21330 IN CNAME www.example.com.edgekey.net.globalredir.akadns.net. www.example.com.edgekey.net.globalredir.akadns.net. 3356 IN CNAME e6858.dsce9.akamaiedge.net. e6858.dsce9.akamaiedge.net. 19 IN A 203.0.113.5 ;; Query time: 43 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Jun 03 16:54:44 PDT 2020 ;; MSG SIZE rcvd: 193
在此示例中,203.0.113.5
是您的负载均衡器的 IP 地址。
第 5 步:使用 OpenSSL 进行测试
负载均衡器最多可能需要 30 分钟才会开始使用自行管理的 SSL 证书。
如需进行测试,请运行以下 OpenSSL 命令,注意将 DOMAIN 替换为您的 DNS 名称,并将 IP_ADDRESS 替换为您的负载均衡器的 IP 地址。
echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error
此命令会输出负载均衡器提供给客户端的证书。输出应包含证书链和 Verify return code: 0 (ok)
以及其他详细信息。
使用自行管理的 SSL 证书
以下部分介绍了如何列出、查看、删除和替换 SSL 证书资源。
列出 SSL 证书
控制台
您可以在证书管理器页面的经典证书标签页上查看全局 SSL 证书的状态。
无法在 Google Cloud 控制台中维护区域级 SSL 证书。使用 gcloud
或 REST API。
- 转到 Google Cloud 控制台中的“经典证书”标签页。
转到“经典证书”标签页 - (可选)过滤 SSL 证书列表。
gcloud
如需列出全球 SSL 证书,请使用带 --global
标志的 gcloud compute ssl-certificates
list
命令:
gcloud compute ssl-certificates list \ --global
如需列出区域级 SSL 证书,请使用带 region
过滤条件的 gcloud compute ssl-certificates
list
命令:
gcloud compute ssl-certificates list \ --filter="region:(REGION ...)"
请替换以下内容:
- REGION:Google Cloud 区域;以空格分隔列表形式添加多个区域
描述 SSL 证书
控制台
您可以在证书管理器页面的经典证书标签页上查看有关全局 SSL 证书的更多详细信息。
- 转到 Google Cloud 控制台中的“经典证书”页面。
转到“经典证书”标签页 - (可选)过滤 SSL 证书列表。
- 如需查看更多详细信息,请点击证书名称。
gcloud
如需描述全球 SSL 证书,请使用带 --global
标志的 gcloud compute ssl-certificates
describe
命令:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global
如需描述区域级 SSL 证书,请使用带 --region
标志的 gcloud compute ssl-certificates
describe
命令:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --region=REGION
请替换以下内容:
- CERTIFICATE_NAME:SSL 证书的名称
- REGION:Google Cloud 区域
删除多个 SSL 证书
如需删除 SSL 证书,您必须先更新引用该证书的各个目标代理。对于每个目标代理,运行相应的 gcloud update
命令来更新目标代理的 SSL_CERTIFICATE_LIST,以使其不再包含需要删除的 SSL 证书。每个目标 SSL 代理或目标 HTTPS 代理必须至少引用一个 SSL 证书。
更新目标代理后,您便可删除 SSL 证书了。
控制台
您可以在证书管理器页面的经典证书标签页上删除全局 SSL 证书。
- 转到 Google Cloud 控制台中的“经典证书”标签页。
转到“经典证书”标签页 - 选择要删除的 SSL 证书。
- 点击 删除。
- 再次点击 删除进行确认。
gcloud
如需删除全球 SSL 证书,请使用带 --global
标志的 gcloud compute ssl-certificates
delete
命令:
gcloud compute ssl-certificates delete CERTIFICATE_NAME \ --global
如需删除区域级 SSL 证书,请使用带 --region
标志的 gcloud compute ssl-certificates
delete
命令:
gcloud compute ssl-certificates delete CERTIFICATE_NAME \ --region=REGION
请替换以下内容:
- CERTIFICATE_NAME:SSL 证书的名称
- REGION:Google Cloud 区域
在 SSL 证书到期之前替换或续订证书
如果您需要替换、续订或轮替 SSL 证书,请按以下步骤操作:
运行当前证书的
gcloud compute ssl-certificates describe
命令,检查证书是否即将过期。创建新的 SSL 证书资源。新 SSL 证书在项目中必须具有唯一的名称。
更新目标代理,以分离旧的 SSL 证书并添加新的 SSL 证书。请务必添加您要保留的任何其他现有 SSL 证书。
为避免停机,请运行带有
--ssl-certificates
标志的单个gcloud
命令。例如:对于全球外部应用负载均衡器:
使用带有
--global
标志的gcloud compute target-https-proxies update
命令。gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --global \ --ssl-certificates=new-ssl-cert,other-certificates \ --global-ssl-certificates
对于区域级外部应用负载平衡器和区域级内部应用负载平衡器:
使用带有
--region
标志的gcloud compute target-https-proxies update
命令。gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --region=REGION \ --ssl-certificates=new-ssl-cert,other-certificates \ --ssl-certificates-region=REGION
对于外部代理网络负载均衡器:
使用带有
--backend-service
标志的gcloud compute target-ssl-proxies update
命令。gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --ssl-certificates=new-ssl-cert,other-certificates
通过运行以下 OpenSSL 命令来验证负载均衡器是否正在提供替换证书:
echo | openssl s_client -showcerts -connect IP_ADDRESS:443 -verify 99 -verify_return_error
等待 15 分钟,以确保替换操作已传播到所有 Google Front End (GFE)。
(可选)删除旧的 SSL 证书。
定期轮替 SSL 证书
此示例解决方案会定期检查用于 Google Cloud 负载均衡器的证书状态,并在证书达到其生命周期的指定百分比时轮替证书。该工具使用通过 Certificate Authority Service 配置的 CA。
此解决方案适用于以下负载均衡器:
- 全球外部应用负载均衡器
- 传统应用负载均衡器
- 区域级外部应用负载均衡器
- 内部应用负载均衡器
- 使用 SSL 代理的外部代理网络负载均衡器
后续步骤
- 如需对 SSL 证书进行问题排查,请参阅对 SSL 证书进行问题排查。