Certificate Manager 概览

Certificate Manager 简化了传输层安全协议 (TLS) 证书的获取、部署和管理。Certificate Manager 支持在负载平衡器上部署全球和区域证书，在 安全 Web 代理代理上部署区域证书，以及在媒体 CDN 上部署全球证书。 Google Cloud

支持的负载均衡器

Google Cloud 引用目标 HTTPS 代理或目标 SSL 代理 (TargetSslProxy) 的负载平衡器使用 TLS 证书对通过网络发送的信息进行加密。

如需使用证书管理器，您的负载平衡器必须与相应的网络服务层级兼容。如需详细了解负载平衡器类型及其各自的网络服务层级支持，请参阅 Google Cloud 负载平衡器摘要。

Certificate Manager 支持以下负载平衡器资源：

应用负载平衡器使用的目标 HTTPS 代理	代理网络负载平衡器使用的目标 SSL 代理
全球外部应用负载均衡器 传统应用负载均衡器 区域级外部应用负载均衡器 区域级内部应用负载均衡器 跨区域内部应用负载均衡器	全球外部代理网络负载均衡器 传统代理网络负载均衡器

如需详细了解目标 HTTPS 代理和目标 SSL 代理类型之间的差异，请参阅目标代理。

支持的 TLS 证书

Certificate Manager 支持以下类型的 TLS 证书：

• 由 Google 管理的证书： Google Cloud为您获取和管理的证书。借助 Certificate Manager，您可以自动颁发和续订 Google 管理的证书。如果您想使用自己的信任链，而不是依赖公共证书授权机构 (CA) 来颁发证书，则可以将 Certificate Manager 配置为使用 Certificate Authority Service 中的 CA 池作为证书颁发机构。

• 自行管理的证书：您自行获取、预配和续订的证书。您需要手动将证书上传到 Certificate Manager 并进行管理。您可以使用第三方 CA 或您信任的 CA 颁发的证书，也可以使用您自己的自签名证书。

如需详细了解受支持的证书，请参阅证书。

优势

证书管理器具有以下优势：

自动化

• 自动颁发、续订和管理由 Google 管理的证书。
• 提前预配 Google 管理的证书，以实现无中断的零停机迁移到 Google Cloud。

安全性

• 安全地存储和部署数以百万计的证书。
• 使用 Google 管理的证书保护您的配置，无需管理证书私钥。
• 在负载平衡器上实现双向 TLS (mTLS) 身份验证，以增强安全性。如需了解详情，请参阅 Cloud Load Balancing 文档中的双向 TLS 概览。

灵活性

• 使用基于 DNS 或基于负载平衡器的授权方法验证域名所有权。
• 您可以选择 Google 管理的证书（由 Google 自动处理）或自行管理的证书（自行获取和管理）。
• 使用 ACME 协议从公共证书授权机构获取您管理的端点的受众信任证书。如需了解详情，请参阅公共 CA。
• 使用 Google Cloud 控制台、Google Cloud CLI 或 Certificate Manager API 以统一的方式管理所有证书。
• 根据域名控制证书分配和选择。与 Compute Engine SSL 证书相比，这样您就可以管理和分发更多数量的证书。
• 在精细级别控制基于主机名的证书分配和选择。

限制

证书管理器存在以下限制：

• Certificate Manager 仅支持使用公共证书授权机构和 Let's Encrypt CA 颁发公开可信的 Google 管理证书。
• Certificate Manager 仅支持使用 Certificate Authority Service 颁发受私有信任的 Google 管理的证书。
• 使用 DNS 授权时，Google 管理的证书的“主题备用名称”(SAN) 字段中允许的网域数量上限为 100 个；使用负载平衡器授权时，此上限为 5 个。
• Google 管理的证书对支持的域名长度有限制。如需了解详情，请参阅 Google 管理的证书的域名长度限制。
• 范围为 ALL_REGIONS 的证书不支持负载平衡器授权。

后续步骤

• Certificate Manager 的核心组件
• Certificate Manager 的运作方式