Certificate Manager 概览

Certificate Manager 简化了传输层安全协议 (TLS) 证书的获取、部署和管理。Certificate Manager 支持在负载平衡器上部署全球和区域证书、在 安全 Web 代理代理上部署区域证书,以及在媒体 CDN 上部署全球证书。 Google Cloud

支持的负载均衡器

Google Cloud 引用目标 HTTPS 代理或目标 SSL 代理 (TargetSslProxy) 的负载平衡器使用 TLS 证书对通过网络发送的信息进行加密。

如需使用证书管理器,您的负载平衡器必须与相应的网络服务层级兼容。如需详细了解负载平衡器类型及其各自的网络服务层级支持,请参阅 Google Cloud 负载平衡器摘要

Certificate Manager 支持以下负载平衡器资源:

应用负载平衡器使用的目标 HTTPS 代理 代理网络负载平衡器使用的目标 SSL 代理
  • 全球外部应用负载均衡器
  • 传统应用负载均衡器
  • 区域级外部应用负载均衡器
  • 区域级内部应用负载均衡器
  • 跨区域内部应用负载均衡器
  • 全球外部代理网络负载均衡器
  • 传统代理网络负载均衡器

如需详细了解目标 HTTPS 代理和目标 SSL 代理类型之间的差异,请参阅目标代理

支持的 TLS 证书

Certificate Manager 支持以下类型的 TLS 证书:

  • 由 Google 管理的证书: Google Cloud为您获取和管理的证书。借助 Certificate Manager,您可以自动颁发和续订 Google 管理的证书。如果您想使用自己的信任链,而不是依赖公共证书授权机构 (CA) 来颁发证书,则可以将 Certificate Manager 配置为使用 Certificate Authority Service 中的 CA 池作为证书颁发机构。

  • 自行管理的证书:您自行获取、预配和续订的证书。您需要手动将证书上传到 Certificate Manager 并进行管理。您可以使用第三方 CA 或您信任的 CA 颁发的证书,也可以使用您自己的自签名证书

如需详细了解受支持的证书,请参阅证书

优势

证书管理器具有以下优势:

自动化

  • 自动颁发、续订和管理由 Google 管理的证书。
  • 提前预配 Google 管理的证书,以实现无中断的零停机迁移到 Google Cloud。

安全性

  • 安全地存储和部署数以百万计的证书。
  • 使用 Google 管理的证书保护您的配置,无需管理证书私钥。
  • 在负载平衡器上实现双向 TLS (mTLS) 身份验证,以增强安全性。如需了解详情,请参阅 Cloud Load Balancing 文档中的双向 TLS 概览

灵活性

  • 使用基于 DNS 或基于负载平衡器的授权方法验证域名所有权。
  • 选择 Google 管理的证书(由 Google 自动处理)或自行管理的证书(自行获取和管理)。
  • 使用 ACME 协议从公共证书授权机构获取您管理的端点的受众信任证书。如需了解详情,请参阅公共 CA
  • 使用 Google Cloud 控制台、Google Cloud CLI 或 Certificate Manager API 以统一的方式管理所有证书。
  • 根据域名控制证书分配和选择。与 Compute Engine SSL 证书相比,这样您就可以管理和分发更多数量的证书。
  • 在精细级别控制基于主机名的证书分配和选择。

限制

证书管理器存在以下限制:

  • Certificate Manager 仅支持使用公共证书授权机构和 Let's Encrypt CA 颁发公开可信的 Google 管理证书。
  • Certificate Manager 仅支持使用 Certificate Authority Service 颁发受私有信任的 Google 管理的证书。
  • 使用 DNS 授权时,Google 管理的证书的“主题备用名称”(SAN) 字段中允许的网域数量上限为 100 个;使用负载平衡器授权时,此上限为 5 个。
  • Google 管理的证书对支持的域名长度有限制。如需了解详情,请参阅 Google 管理的证书的域名长度限制
  • 范围为 ALL_REGIONS 的证书不支持负载平衡器授权。

后续步骤