本页面概述了 Certificate Manager 的核心组件和概念。
证书
“证书”是指为特定域名或域名通配符颁发的 X.509 传输层安全协议 (TLS) (SSL) 证书。
Certificate Manager 支持以下类型的证书:
- Google 管理的证书:由 Google Cloud为您获取和管理的证书。当由 Google 管理的证书被新签发或续订时,Certificate Manager 会使用新生成的私钥来创建证书。
- 自行管理的证书:您自行获取、预配和续订的证书。
Google 管理的证书
Google 管理的证书是 Google Cloud 为您获取和管理的 TLS 证书。借助 Certificate Manager,您可以创建、管理和自动续订 Google 管理的证书。Certificate Manager 还允许您使用基于负载均衡器的授权或基于 DNS 的授权来验证网域所有权。
Certificate Manager 支持 Public Certificate Authority 机构 (CA) 和 Let's Encrypt CA。默认情况下,Public CA 会颁发由 Google 管理的证书。如果您无法从 Public CA 为特定网域获取证书,证书管理器会回退到 Let's Encrypt CA。在以下情况下可能会发生这种情况:Public CA 拒绝为网域颁发证书,或者您的证书授权机构授权 (CAA) 记录明确禁止 Public CA 为相应网域颁发证书。如需详细了解如何限制可为您的网域颁发证书的 CA,请参阅指定可颁发您的 Google 管理的证书的 CA。
将 Google 管理的证书与 Certificate Manager 搭配使用时,请注意以下几点:
- Certificate Manager 支持 RSA Google 管理的证书。
- Google 管理的区域级证书仅支持基于 DNS 的授权,并从公共 CA 获取证书。
- 不支持使用 Google 管理的证书作为双向 TLS 的客户端证书。
- 公开的 Google 管理型证书的默认有效期为 90 天,但
EDGE_CACHE范围除外,该范围的有效期为 30 天。不支持更改公开的 Google 管理的证书的有效期。
公开证书和私有证书
Certificate Manager 可以管理公共证书和私有证书。Certificate Manager 从公共 CA 获取公共证书,这些证书通常用于保护公共服务。主流浏览器、操作系统和应用都将 Public CA 视为信任根。Certificate Manager 从 CA Service 获取私有证书,这些证书通常用于保护私有服务。
自行管理的证书
如果您因业务要求而无法使用 Google 管理的证书,则可以上传由外部 CA 颁发的证书及其关联的密钥。您必须手动签发和续订这些自行管理的证书。
支持的密钥类型
负载平衡器支持使用不同密钥类型私钥的证书。下表显示了密钥类型支持,具体取决于证书是自行管理的还是 Google 管理的。|
SSL 证书类型 arrow_forward 密钥类型 arrow_downward |
Certificate Manager SSL 证书 | ||
|---|---|---|---|
| 全球和地区 | |||
| 自行管理 | 由 Google 管理且受公开信任 | 私密信任的 Google 管理的 | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
网域授权
借助 Certificate Manager,您可以通过以下方式之一证明您拥有要为其颁发 Google 管理的证书的网域:
负载均衡器授权:直接将证书部署到受支持的负载均衡器,而无需创建 DNS 记录。
DNS 授权:在创建专用 DNS 记录以验证网域所有权后,将证书直接部署到受支持的负载平衡器。
如需了解详情,请参阅 Google 管理的证书的网域授权类型。
对于自行管理的证书,您无需进行网域授权。
证书映射
证书映射会引用一个或多个证书映射条目,以将特定证书分配给特定主机名。证书映射条目还定义了负载均衡器在建立客户端连接时遵循的选择逻辑。您可以将一个证书映射与多个目标代理相关联,以便在多个负载平衡器中重复使用。
如果客户端请求证书映射中指定的主机名,负载平衡器会提供映射到该主机名的证书。否则,负载平衡器会提供主证书,即目标代理的第一个列出的证书。如需了解详情,请参阅 Certificate Manager 的运作方式。
以下负载平衡器支持证书映射:
- 全球外部应用负载均衡器
- 全局外部代理网络负载均衡器
如需详细了解如何创建和管理证书映射,请参阅管理证书映射。
证书映射条目
证书映射条目是为特定域名提供的一系列证书。您可以为同一网域定义不同的证书集。例如,您可以上传 ECDSA 证书和 RSA 证书,并将它们映射到同一域名。
当客户端连接到某个域名时,负载均衡器会在握手期间协商要向客户端提供的证书类型。
您最多可以将四个证书与单个证书映射条目相关联。
如需详细了解如何创建和管理证书映射条目,请参阅管理证书映射条目。
信任配置
信任配置是一项资源,表示证书管理器中您可用于双向 TLS 身份验证场景的公钥基础架构 (PKI) 配置。它封装了单个受信任证书存储区,而该受信任证书存储区包含信任锚以及(可选)一个或多个中间证书。
如需详细了解双向 TLS (mTLS) 身份验证,请参阅 Cloud Load Balancing 文档中的双向 TLS 概览。
如需详细了解信任配置及其组件,请参阅管理信任配置。
受信任证书存储区
信任存储区表示证书管理器中可用于双向 TLS 身份验证场景的信任 Secret 配置。受信任证书存储区封装了单个信任锚以及(可选)一个或多个中间证书。
以下限制适用于信任配置资源:
- 一个信任配置资源可以包含一个受信任证书存储区。
- 一个受信任证书存储区最多可存储 200 个信任锚和 100 个中间 CA 证书。
信任锚
信任锚表示单个根证书,用于双向 TLS 身份验证场景。信任锚封装在受信任证书存储区中。
中间证书
中间证书是由受信任证书存储区中的根证书或其他中间证书签名的证书。中间证书用于双向 TLS 身份验证。
如果您有任何中间证书,则可以将一个或多个中间证书封装在信任存储区中,具体取决于您的 PKI 配置。除了现有的中间证书之外,信任配置还包含所有中间证书,作为对所有连接请求进行信任评估的一部分。
需要列入许可名单的证书
如需允许客户端使用自签名证书、已过期证书或无效证书进行身份验证,请将该证书添加到信任配置的 allowlistedCertificates 字段中。如果您无法访问根证书和中间证书,也可以添加该证书。您无需受信任证书存储区即可将证书添加到许可名单中。
将证书添加到许可名单后,如果证书满足以下条件,Certificate Manager 会认为该证书有效:
- 证书可解析。
- 客户端证明其拥有证书的私钥。
- 满足了对主题备用名称 (SAN) 字段的限制。
证书颁发配置
证书颁发配置是一种资源,可让 Certificate Manager 使用您自己的 Certificate Authority Service 实例中的 CA 池来颁发 Google 管理的证书。借助证书颁发配置,您可以指定证书颁发和到期参数,以及所颁发证书的密钥算法。
如需详细了解如何创建和管理证书颁发配置,请参阅管理证书颁发配置资源。