SSL 证书概览

传输层安全协议 (TLS) 是 SSL 证书中用于保护网络通信的加密协议。

Google Cloud 使用 SSL 证书为客户端到负载平衡器提供隐私保护和安全性。要实现此目的,负载平衡器必须具有 SSL 证书和该证书的相应私钥。客户端和负载平衡器之间的通信将保持私密状态 - 任何没有此私钥的第三方都无法辨认。

负载平衡器

下表总结了需要 SSL 证书的 Google Cloud 负载平衡器的类型。

负载平衡器类型 从客户端到负载平衡器的协议
内部 HTTPS 负载平衡器 HTTPS 或 HTTP/2
外部 HTTPS 负载平衡器 HTTPS 或 HTTP/2
SSL 代理负载平衡器 SSL (TLS)

自行管理和 Google 管理的 SSL 证书

您可以自行获得自行管理的证书,也可以使用由 Google 管理的证书(由 Google 为您获得和管理)。

  • 自行管理的 SSL 证书是您自行获取、预配和续订的证书。此类型可以是以下任意一种:

    • 网域验证 (DV)
    • 组织验证 (OV)
    • 扩展验证 (EV) 证书

    如需了解详情,请参阅公钥证书

  • 由 Google 管理的 SSL 证书是 Google Cloud 为您的网域获取和管理的证书,此类证书可自动续订。由 Google 管理的证书是网域验证 (DV) 证书。这类证书不会显示与证书相关联的组织或个人的身份,也不支持通配符公用名。

对于外部 HTTP(S) 负载平衡器和 SSL 代理负载平衡器,您可以在一个目标代理上引用由 Google 管理的 SSL 证书、自行管理的 SSL 证书或者这两种 SSL 证书的组合。证书可以按任何顺序进行引用。对于内部 HTTP(S) 负载平衡器,您必须使用自行管理的证书。

如需了解如何为负载平衡器配置 SSL 证书,请参阅以下指南:

多个 SSL 证书

您最多可以配置每个目标 HTTPS 或目标 SSL 代理的 SSL 证书数量上限。当您使用同一个负载平衡器 IP 地址和端口从多个网域提供服务,并且想对每个网域使用不同的 SSL 证书时,请使用多个 SSL 证书。

如果您指定多个 SSL 证书,则 SSL 证书列表中的第一个证书将被视为与目标代理相关联的主要 SSL 证书。

当客户端发送请求时,负载平衡器使用客户端指定的 SNI 主机名来选择要在协商 SSL 连接时使用的证书。

只要可能,负载平衡器就会选择其公用名 (CN) 或主题备用名称 (SAN) 与客户端指定的 SNI 主机名相匹配的证书。RSA 和 ECDSA 是数字签名的类型,并且客户端软件必须能够使用它们。

如果无法选择任何可用证书,或者客户端未指定 SNI 主机名,则负载平衡器将使用主证书(即列表中的第一个证书)进行 SSL 协商。

多个 SSL 证书(点击可放大)
多个 SSL 证书(点击可放大)

从负载平衡器到后端的加密

如需了解此主题,请参阅后端加密

负载平衡器、SSL 证书和目标代理

Google Cloud SSL 证书资源同时包含私钥和 SSL 证书本身。

目标代理表示负载平衡器的前端服务与其后端服务(针对 SSL 代理负载平衡器)或网址映射(针对 HTTPS 负载平衡器)之间的逻辑连接。

下图展示了目标代理及其关联的 SSL 证书如何适应负载平衡架构。

目标代理、SSL 证书和其他负载平衡器组件(点击可放大)
目标代理、SSL 证书和其他负载平衡器组件(点击可放大)

SSL 证书范围

Google Cloud 有两种 SSL 证书资源范围:区域和全球。

负载平衡器类型 SSL 证书资源的范围 gcloud 参考 API 参考
内部 HTTPS 负载平衡器 区域 gcloud compute ssl-certificates --region regionSslCertificates
外部 HTTPS 负载平衡器 全球 gcloud compute ssl-certificates --global sslCertificates
SSL 代理负载平衡器 全球 gcloud compute ssl-certificates --global sslCertificates

目标代理

SSL 证书与以下类型的目标代理相关联:

负载平衡器类型 目标代理的类型 gcloud 参考 API 参考
内部 HTTPS 负载平衡器 区域 gcloud compute target-https-proxies --region regionTargetHttpsProxies
外部 HTTPS 负载平衡器 全球 gcloud compute target-https-proxies --global targetHttpsProxies
SSL 代理负载平衡器 全球 gcloud compute target-ssl-proxies --global targetSslProxies

限制

  • 每个目标代理都支持有限数量的 SSL 证书。 如需了解详情,请参阅每个目标 HTTPS 代码或目标 SSL 代理的 SSL 证书数量限制

  • 由 Google 管理的每个证书都支持有限数量的网域。 如需了解详情,请参阅由 Google 管理的每个 SSL 证书的网域数量限制

  • 如果您将由 Google 管理的证书用于 SSL 代理负载平衡,则负载平衡器的转发规则必须使用 TCP 端口 443,这样由 Google 管理的证书才能自动续订。

  • Google Cloud 负载平衡器不支持基于客户端证书的身份验证(双向 TLS,也就是 mTLS)。

  • 由 Google 管理的 SSL 证书不支持使用通配符。

后续步骤

亲自尝试

如果您是 Google Cloud 新手,请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

免费开始使用