SSL 证书概览

传输层安全协议 (TLS) 是 SSL 证书中用于保护网络通信的加密协议。

Google Cloud 使用 SSL 证书为客户端到负载平衡器提供隐私保护和安全性。要实现此目的,负载平衡器必须具有 SSL 证书和该证书的相应私钥。客户端和负载平衡器之间的通信将保持私密状态 - 任何没有此私钥的第三方都无法辨认。

自行管理和 Google 管理的 SSL 证书

您可以自行获得自行管理的证书,也可以使用由 Google 管理的证书(由 Google 为您获得和管理)。

  • 自行管理的 SSL 证书是您自行获取、预配和续订的证书。此类型可以是以下任意一种:

    • 网域验证 (DV)
    • 组织验证 (OV)
    • 扩展验证 (EV) 证书

    如需了解详情,请参阅公钥证书

  • 由 Google 管理的 SSL 证书是 Google Cloud 为您的网域获取和管理的证书,此类证书可自动续订。由 Google 管理的证书是网域验证 (DV) 证书。这类证书不会显示与证书相关联的组织或个人的身份,也不支持通配符公用名。

下表总结了需要 SSL 证书和支持的证书类型的 Google Cloud 负载均衡器类型。

负载均衡器类型 从客户端到负载平衡器的协议 支持的证书类型
  • 全局外部 HTTP(S) 负载均衡器(预览版
  • 全局外部 HTTP(S) 负载均衡器(经典版)
HTTPS 或 HTTP/2 Google 管理的证书和/或自行管理的证书
  • 区域级外部 HTTP(S) 负载均衡器(预览版
  • 内部 HTTP(S) 负载平衡器
HTTPS 或 HTTP/2 自行管理
SSL 代理负载平衡器 SSL (TLS) Google 管理的证书和/或自行管理的证书

如需了解如何为负载平衡器配置 SSL 证书,请参阅以下指南:

多个 SSL 证书

您最多可以配置每个目标 HTTPS 或目标 SSL 代理的 SSL 证书数量上限。当您使用同一个负载平衡器 IP 地址和端口从多个网域提供服务,并且想对每个网域使用不同的 SSL 证书时,请使用多个 SSL 证书。

如果您指定多个 SSL 证书,则 SSL 证书列表中的第一个证书将被视为与目标代理相关联的主要 SSL 证书。

当客户端发送请求时,负载平衡器使用客户端指定的 SNI 主机名来选择要在协商 SSL 连接时使用的证书。

只要可能,负载平衡器就会选择其公用名 (CN) 或主题备用名称 (SAN) 与客户端指定的 SNI 主机名相匹配的证书。RSA 和 ECDSA 是数字签名的类型,并且客户端软件必须能够使用它们。

当 SNI 主机名与多个证书中的 CN 或 SAN 匹配时,证书选择基于特定客户端和无法预测的内部因素。系统会返回其中一个与 SNI 匹配的证书。如果过期的证书仍与目标代理相关联,则负载均衡器也可以处理过期的证书。

如果无法选择任何可用证书,或者客户端未指定 SNI 主机名,则负载平衡器将使用主证书(即列表中的第一个证书)进行 SSL 协商。

多个 SSL 证书(点击可放大)
多个 SSL 证书(点击可放大)

从负载平衡器到后端的加密

如需了解此主题,请参阅后端加密

负载平衡器、SSL 证书和目标代理

Google Cloud SSL 证书资源同时包含私钥和 SSL 证书本身。

目标代理表示负载平衡器的前端服务与其后端服务(针对 SSL 代理负载平衡器)或网址映射(针对 HTTPS 负载平衡器)之间的逻辑连接。

下图展示了目标代理及其关联的 SSL 证书如何适应负载平衡架构。

目标代理、SSL 证书和其他负载平衡器组件(点击可放大)
目标代理、SSL 证书和其他负载平衡器组件(点击可放大)

SSL 证书范围

Google Cloud 有两种 SSL 证书资源范围:区域和全球。

负载平衡器类型 SSL 证书资源的范围 gcloud 参考 API 参考文档
  • 全局外部 HTTP(S) 负载均衡器(预览版
  • 全局外部 HTTP(S) 负载均衡器(经典版)
全球 gcloud compute ssl-certificates --global sslCertificates
  • 区域级外部 HTTP(S) 负载均衡器(预览版
  • 内部 HTTP(S) 负载平衡器
区域级 gcloud compute ssl-certificates --region regionSslCertificates
SSL 代理负载平衡器 全球 gcloud compute ssl-certificates --global sslCertificates

对于全局外部 HTTP(S) 负载均衡器(经典版)和 SSL 代理负载均衡器,标准层级和高级层级都需要全球 SSL 证书。这意味着,在标准层级中,区域转发规则指向全球目标代理。

目标代理

SSL 证书与以下类型的目标代理相关联:

负载平衡器类型 目标代理的类型 gcloud 参考 API 参考文档
  • 全局外部 HTTP(S) 负载均衡器(预览版
  • 全局外部 HTTP(S) 负载均衡器(经典版)
全球 gcloud compute target-https-proxies --global targetHttpsProxies
  • 区域级外部 HTTP(S) 负载均衡器(预览版
  • 内部 HTTP(S) 负载平衡器
区域级 gcloud compute target-https-proxies --region regionTargetHttpsProxies
SSL 代理负载平衡器 全局 gcloud compute target-ssl-proxies --global targetSslProxies

限制

  • 每个目标代理都支持有限数量的 SSL 证书。 如需了解详情,请参阅每个目标 HTTPS 代码或目标 SSL 代理的 SSL 证书数量限制

  • 由 Google 管理的每个证书都支持有限数量的网域。 如需了解详情,请参阅由 Google 管理的每个 SSL 证书的网域数量限制

  • 如果您将由 Google 管理的证书用于 SSL 代理负载平衡,则负载平衡器的转发规则必须使用 TCP 端口 443,这样由 Google 管理的证书才能自动续订。

  • Google Cloud 负载平衡器不支持基于客户端证书的身份验证(双向 TLS,也就是 mTLS)。

  • 由 Google 管理的 SSL 证书不支持使用通配符。

后续步骤

自行试用

如果您是 Google Cloud 新手,请创建一个帐号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

免费开始使用