Certificate Manager 簡介

憑證管理工具可簡化傳輸層安全標準 (TLS) 憑證的取得、部署和管理作業。Certificate Manager 支援在 Google Cloud 負載平衡器上部署全域和區域憑證、在 安全網頁 Proxy 代理上部署區域憑證,以及在 Media CDN 上部署全域憑證。

支援的負載平衡器

Google Cloud 參照目標 HTTPS Proxy 或目標 SSL Proxy (TargetSslProxy) 的負載平衡器會使用 TLS 憑證,加密透過網路傳送的資訊。

如要使用憑證管理工具,您的負載平衡器必須與對應的網路服務級別相容。如要全面瞭解負載平衡器類型及其各自支援的網路服務層級,請參閱「 Google Cloud 負載平衡器摘要」。

Certificate Manager 支援下列負載平衡器資源:

應用程式負載平衡器使用的目標 HTTPS Proxy 代理網路負載平衡器使用的目標 SSL Proxy
  • 全域外部應用程式負載平衡器
  • 傳統版應用程式負載平衡器
  • 區域性外部應用程式負載平衡器
  • 區域性內部應用程式負載平衡器
  • 跨區域內部應用程式負載平衡器
  • 全域外部 Proxy 網路負載平衡器
  • 傳統版 Proxy 網路負載平衡器

如要進一步瞭解目標 HTTPS 和目標 SSL Proxy 類型的差異,請參閱「目標 Proxy」。

支援的 TLS 憑證

憑證管理工具支援下列 TLS 憑證類型:

  • Google 代管憑證: Google Cloud為您取得及管理的憑證。您可以使用憑證管理工具,自動核發及更新 Google 代管的憑證。如果您想使用自己的信任鏈,而非依賴公開憑證授權單位 (CA) 核發憑證,可以將憑證管理工具設為使用憑證授權單位服務中的 CA 集區,做為憑證核發者。

  • 自行管理的憑證:您自行取得、佈建及更新的憑證。您可以手動將憑證上傳至憑證管理工具並管理這些憑證。您可以使用第三方 CA 或您信任的 CA 核發的憑證,或是自己的自行簽署憑證

如要進一步瞭解支援的憑證,請參閱「憑證」。

優點

憑證管理工具具備下列優點:

自動化

  • 自動核發、更新及管理 Google 代管憑證。
  • 提前佈建 Google 代管的憑證,以便無縫遷移至 Google Cloud,並確保不造成任何服務中斷時間。

安全性

  • 安全地儲存及部署數百萬個憑證。
  • 使用 Google 代管的憑證保護設定,無須管理憑證私密金鑰。
  • 在負載平衡器上實作相互傳輸層安全標準 (mTLS) 驗證,以強化安全性。詳情請參閱 Cloud Load Balancing 說明文件中的「相互 TLS 總覽」。

工作彈性

  • 使用 DNS 或負載平衡器授權方法驗證網域擁有權。
  • 選擇 Google 代管憑證 (由 Google 自動處理) 或自行管理憑證 (自行取得及管理)。
  • 使用 ACME 通訊協定,為您管理的端點取得公開信任的憑證。詳情請參閱「公開 CA」。
  • 使用 Google Cloud 控制台、Google Cloud CLI 或 Certificate Manager API,以統一方式管理所有憑證。
  • 根據網域名稱控管憑證指派和選取作業。這樣一來,您就能管理及提供比 Compute Engine SSL 憑證更多的憑證。
  • 根據主機名稱,在精細層級控制憑證的指定和選取作業。

限制

憑證管理工具有下列限制:

  • 憑證管理工具僅支援公開憑證授權單位和 Let's Encrypt CA,用於核發 Google 管理的公開信任憑證。
  • 憑證管理工具僅支援憑證授權單位服務,用於核發私人信任的 Google 代管憑證。
  • 使用 DNS 授權時,Google 代管憑證的主體別名 (SAN) 欄位最多可容納 100 個網域,使用負載平衡器授權時則最多可容納 5 個網域。
  • Google 代管憑證支援的網域名稱長度有限制。詳情請參閱「Google 代管憑證的網域名稱長度限制」。
  • 憑證的 ALL_REGIONS 範圍不支援負載平衡器授權。

後續步驟