Certificate Manager verwendet einen flexiblen Zuordnungsmechanismus, mit dem Sie genau festlegen können, welche Zertifikate Sie für jeden Domainnamen in Ihrer Umgebung zuweisen und wie sie bereitgestellt werden sollen.
Das folgende Diagramm zeigt die Beziehungen zwischen den Certificate Manager-Komponenten für einen typischen Zielproxy, der in einer Load Balancer-Weiterleitungsregel angegeben ist:
Weitere Informationen zu den Komponenten von Certificate Manager finden Sie unter Kernkomponenten.
Logik für die Zertifikatsauswahl
Im Allgemeinen wählt der Load Balancer ein Zertifikat so aus:
Ein Client initiiert einen Handshake, eine Verbindungsanfrage an den Dienst hinter dem Load Balancer.
Während des Handshakes stellt der Client dem Load Balancer eine Liste der kryptografischen Algorithmen zur Verfügung, die er zum Abschluss des Handshakes verwendet, und optional den Hostnamen, den er erreichen möchte. Dieser Hostname wird auch als Server Name Indication (SNI) bezeichnet.
Nach Erhalt der Anfrage wählt der Load Balancer ein Zertifikat aus, um den sicheren Handshake abzuschließen.
Exakte Übereinstimmung des Hostnamens: Wenn der angegebene Hostname des Clients genau mit einem Hostnameneintrag in der bereitgestellten Zertifikatszuordnung übereinstimmt, wählt der Load Balancer das entsprechende Zertifikat aus.
Übereinstimmung mit Platzhalter-Hostnamen: Wenn der Hostname des Clients mit keinem der Hostnameneinträge in der bereitgestellten Zertifikatszuordnung übereinstimmt, aber mit einem Platzhalter-Hostnamen in einem Zertifikatszuordnungseintrag, wählt der Load Balancer das entsprechende Zertifikat aus.
Ein Wildcard-Eintrag, der als
*.myorg.example.comkonfiguriert ist, deckt beispielsweise Subdomains der ersten Ebene in der Domainmyorg.example.comab.Kein exakter oder Wildcard-Hostnamen-Abgleich: Wenn der Hostname des Clients mit keinem der Hostnameneinträge in der bereitgestellten Zertifikatzuordnung übereinstimmt, wählt der Load Balancer den primären Zertifikatzuordnungseintrag aus.
Handshake-Fehler: Wenn der Client keinen Hostnamen angegeben hat und der primäre Eintrag in der Zertifikatzuordnung nicht konfiguriert ist, schlägt der Handshake fehl.
Zertifikatspriorität
Bei der Auswahl eines Zertifikats priorisiert der Load Balancer die Zertifikate anhand der folgenden Faktoren:
- Zertifikatstyp Wenn der Client ECDSA-Zertifikate unterstützt, priorisiert der Load Balancer diese gegenüber RSA-Zertifikaten. Wenn der Client keine ECDSA-Zertifikate unterstützt, gibt der Load Balancer stattdessen ein RSA-Zertifikat aus.
- Zertifikatsgröße Da kleinere Zertifikate weniger Bandbreite beanspruchen, priorisiert der Load Balancer kleinere Zertifikate vor größeren.
Platzhalter-Domainnamen
Für Platzhalter-Domainnamen gelten die folgenden Regeln:
- Nur von Google verwaltete Zertifikate mit DNS-Autorisierung und von Google verwaltete Zertifikate mit CA-Dienst unterstützen Platzhalter-Domainnamen. Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung unterstützen keine Domains mit Platzhaltern.
- Eine genaue Übereinstimmung hat Vorrang vor einem Platzhalter, wenn beide im Eintrag definiert sind. Wenn Sie beispielsweise Zertifikatzuordnungseinträge für
www.myorg.example.comund*.myorg.example.comkonfiguriert haben, wird bei einer Verbindungsanfrage anwww.myorg.example.comimmer der Eintrag fürwww.myorg.example.comausgewählt, auch wenn ein Eintrag für*.myorg.example.comvorhanden ist. - Wildcard-Domainnamen stimmen nur mit der ersten Subdomainebene überein. Bei einer Verbindungsanfrage für
host1.myorg.example.comwird beispielsweise ein Eintrag in der Zertifikatzuordnung für*.myorg.example.comausgewählt, aber nicht fürhost1.hosts.myorg.example.com.
Zertifikatverlängerung
Von Google verwaltete Zertifikate werden automatisch verlängert. Sie müssen selbst verwaltete Zertifikate manuell verlängern. Bei Bedarf können Sie Cloud Logging-Benachrichtigungen für Zertifikate konfigurieren, bevor sie ablaufen. Weitere Informationen finden Sie unter Logbenachrichtigungen konfigurieren.