憑證管理工具的核心元件

本頁面概述 Certificate Manager 的核心元件和概念。

憑證

憑證代表一項針對特定網域名稱或網域萬用字元核發的 X.509 傳輸層安全標準 (TLS) (SSL) 憑證。

憑證管理工具支援下列憑證類型:

  • Google 代管憑證: Google Cloud為您取得及管理的憑證。當新的 Google 代管憑證核發或更新時,憑證管理工具會使用憑證的最新產生私密金鑰。
  • 自行管理的憑證:您自行取得、佈建及更新的憑證。

Google 代管憑證

Google 代管憑證是 Google 為您取得及管理的 TLS 憑證。 Google Cloud 憑證管理工具可讓您建立、管理及自動續約 Google 代管憑證。憑證管理工具也能讓您使用負載平衡器授權或 DNS 授權,驗證網域擁有權。

憑證管理工具支援公開憑證授權單位 (CA) 和 Let's Encrypt CA。根據預設,公開 CA 會核發 Google 代管的憑證。如果您無法為特定網域向公用 CA 取得憑證,憑證管理工具會改為使用 Let's Encrypt CA。這種情況可能發生在公開 CA 拒絕為網域核發憑證,或是您的憑證授權單位授權 (CAA) 記錄明確禁止公開 CA 為該網域核發憑證的情況下。如要進一步瞭解如何限制可能為網域核發憑證的 CA,請參閱「指定可核發 Google 管理憑證的 CA」。

使用 Certificate Manager 管理 Google 管理的憑證時,請留意以下幾點重要事項:

  • 憑證管理工具支援 Google 代管的 RSA 憑證。
  • 區域性 Google 代管憑證僅支援 DNS 授權,並從公開 CA 取得憑證。
  • 不支援使用 Google 代管的憑證做為雙向 TLS 的用戶端憑證。
  • 對於所有範圍 (EDGE_CACHE 除外,其效期為 30 天),公開的 Google 管理憑證預設有效期為 90 天。不支援變更 Google 代管公開憑證的有效性。

公開和私密憑證

憑證管理工具可管理公開和私密憑證。憑證管理工具會從公開 CA 取得公開憑證,這類憑證通常用於保護公開服務。主要瀏覽器、作業系統和應用程式會將公開 CA 視為信任的根源。憑證管理工具會從 CA 服務取得私人憑證,這類憑證通常用於保護私人服務。

自行管理的憑證

如果您因業務需求無法使用 Google 代管的憑證,可以上傳外部 CA 核發的憑證,以及相關聯的金鑰。您必須手動核發及更新這些自行管理的憑證。

網域授權

您可以透過下列任一方式,在憑證管理工具中證明您要核發 Google 代管憑證的網域擁有權:

  • 負載平衡器授權:直接將憑證部署至支援的負載平衡器,不必建立 DNS 記錄。

  • DNS 授權:建立專用 DNS 記錄驗證網域擁有權後,直接將憑證部署至支援的負載平衡器。

詳情請參閱「Google 管理憑證的網域授權類型」。

您不需要為自行管理的憑證進行網域授權。

憑證對應關係

憑證對應關係會參照一或多個憑證對應項目,這些對應項目會將特定憑證指派給特定主機名稱。憑證對應項目也會定義負載平衡器在建立用戶端連線時,所遵循的選取邏輯。您可以將憑證對應項目與多個目標 Proxy 建立關聯,以便在多個負載平衡器中重複使用。

如果用戶端要求憑證對應項目中指定的主機名稱,負載平衡器就會提供對應至該主機名稱的憑證。否則,負載平衡器會提供主要憑證,這是目標 Proxy 列出的首個憑證。詳情請參閱「Certificate Manager 的運作方式」。

下列負載平衡器支援憑證對應項目:

  • 全域外部應用程式負載平衡器
  • 全域外部 Proxy 網路負載平衡器

如要進一步瞭解如何建立及管理憑證對應關係,請參閱「管理憑證對應關係」。

憑證對應項目

憑證對應項目是針對特定網域名稱提供的憑證清單。您可以為同一個網域定義不同的憑證組合。舉例來說,您可以上傳 ECDSA 和 RSA 憑證,並將它們對應至相同的網域名稱。

當用戶端連線至網域名稱時,負載平衡器會在握手期間協商要向用戶端提供的憑證類型。

您最多可以將四個憑證與單一憑證對應項目建立關聯。

如要進一步瞭解如何建立及管理憑證對應項目,請參閱「管理憑證對應項目」。

信任設定

「信任設定」是 Certificate Manager 中的資源,代表您的公用金鑰基礎架構 (PKI) 設定,會用於雙向傳輸層安全標準 (mTLS) 驗證作業。此設定包含一個信任儲存庫,其中封裝了一個信任錨點,以及一或多個中繼憑證 (屬於選用性質)。

如要進一步瞭解相互傳輸層安全性 (mTLS) 驗證,請參閱 Cloud Load Balancing 說明文件中的「相互傳輸層安全性總覽」。

如要進一步瞭解信任設定及其元件,請參閱「管理信任設定」。

信任儲存庫

信任存放區代表 Certificate Manager 中的信任機密設定,會用於雙向傳輸層安全標準 (mTLS) 驗證作業。信任儲存庫封裝單一信任錨點,以及一或多個中繼憑證 (屬於選用性質)。

信任設定資源適用下列限制:

信任錨點

信任錨點代表單一根憑證,可用於雙向傳輸層安全標準 (mTLS) 驗證作業。信任錨點會封裝在信任存放區中。

中繼憑證

中繼憑證是由信任儲存庫中的根憑證或其他中繼憑證簽署的憑證。中繼憑證用於雙向傳輸層安全標準 (mTLS) 驗證。

如果您有任何中繼憑證,則可視 PKI 設定在信任儲存庫中封裝一或多個中繼憑證。除了現有的中繼憑證之外,信任設定也包含所有中繼憑證,做為所有連線要求的信任評估的一部分。

需要許可清單的憑證

如要讓用戶端使用自行簽署、已過期或無效的憑證進行驗證,請將憑證新增至信任設定的 allowlistedCertificates 欄位。如果您無法存取根憑證和中繼憑證,也可以新增憑證。您不需要信任存放區,即可將憑證新增至許可清單。

將憑證新增至許可清單後,如果憑證符合下列條件,憑證管理工具就會將其視為有效憑證:

  • 憑證可剖析。
  • 用戶端證明自己擁有憑證的私密金鑰。
  • 符合主體別名 (SAN) 欄位的限制。

憑證核發設定

憑證核發設定是一種資源,可讓 Certificate Manager 使用您自有 Certificate Authority Service 執行個體的 CA 集區,核發 Google 代管的憑證。憑證核發設定可讓您指定憑證核發和到期日的參數,以及核發憑證的金鑰演算法。

如要進一步瞭解如何建立及管理憑證核發設定,請參閱「管理憑證核發設定資源」。

後續步驟