Auf dieser Seite erhalten Sie einen Überblick darüber, wie Sie mit Certificate Manager von Google verwaltete und selbstverwaltete Zertifikate für Application Load Balancer und Proxy-Network-Load-Balancer bereitstellen.
Bevor Sie diese Seite lesen, sollten Sie sich mit der Übersicht über SSL-Zertifikate in der Cloud Load Balancing-Dokumentation vertraut machen.
Konfigurationsmethoden für den Zertifikatmanager
Certificate Manager bietet zwei Methoden zur Zertifikatskonfiguration für Application Load Balancer, die HTTPS-Zielproxys verwenden, und für Proxy-Network Load Balancer, die SSL-Zielproxys verwenden. Dies sind zwei von drei möglichen Methoden zum Konfigurieren von Zertifikaten für Cloud Load Balancing. Weitere Informationen zu Certificate Manager und Cloud Load Balancing finden Sie in der Dokumentation zum Load Balancing unter Methoden zur Zertifikatskonfiguration.
Der Zielproxy des Load-Balancers verweist auf eine Certificate Manager-Zertifikatszuordnung: Der Zielproxy des Load-Balancers verweist auf eine einzelne Zertifikatszuordnung. Die Zertifikatzuordnung unterstützt standardmäßig Tausende von Einträgen und kann auf Millionen von Einträgen skaliert werden. Diese Methode wird von externen Application Load Balancern und externen Proxy-Network Load Balancern verwendet, die von Google Front Ends (GFEs) unterstützt werden:
- Globale externe Application Load Balancer
- Klassische Application Load Balancer
- Globale externe Proxy-Network Load Balancer
- Klassische Proxy-Network Load Balancer
Der Zielproxy des Load-Balancers verweist direkt auf Certificate Manager-Zertifikate: Der Zielproxy des Load-Balancers kann auf bis zu 100 Certificate Manager-Zertifikate verweisen. Diese Methode wird von den folgenden Application Load Balancern verwendet, die auf der verwalteten Open-Source-Proxysoftware Envoy basieren:
- Regionale externe Application Load Balancer
- Regionale interne Application Load Balancer
- Regionsübergreifende interne Application Load Balancer
Zertifikatmanager unterstützt auch die folgenden Produkte, die im Rahmen ihrer Konfiguration auf Zertifikatmanager-Zertifikate verweisen:
Secure Web Proxy-Gateway verweist auf Certificate Manager-Zertifikate: Bevor Sie ein Secure Web Proxy-Gateway konfigurieren können, müssen Sie ein oder mehrere Certificate Manager-Zertifikate erstellen, die vom Gateway verwendet werden sollen. Weitere Informationen finden Sie unter SSL-Zertifikat bereitstellen und Secure Web Proxy-Instanz bereitstellen.
Media CDN-Edge-Cache-Dienst verweist auf Certificate Manager-Zertifikate: Ein Media CDN-Edge-Cache-Dienst unterstützt bis zu fünf Certificate Manager-Zertifikate. Weitere Informationen finden Sie unter SSL-(TLS)-Zertifikate und SSL-(TLS)-Zertifikate konfigurieren.
Zertifikat-Typen
Certificate Manager unterstützt sowohl von Google verwaltete als auch selbstverwaltete Zertifikate. Alle Application Load Balancer, die Ziel-HTTPS-Proxys verwenden, und alle Proxy-Network Load Balancer, die Ziel-SSL-Proxys unterstützen, können entweder von Google verwaltete oder selbstverwaltete Certificate Manager-Zertifikate verwenden.
Von Google verwaltete Certificate Manager-Zertifikate: Zertifikate, die Google Cloud für Sie abruft und verwaltet. Je nach Load-Balancer und seiner Certificate Manager-Konfigurationsmethode können von Google verwaltete Certificate Manager-Zertifikate mithilfe der Load-Balancer-Autorisierung, der DNS-Autorisierung oder des Certificate Authority Service (CA Service) bereitgestellt werden.
Selbstverwaltete Certificate Manager-Zertifikate: Zertifikate, die Sie selbst beziehen, bereitstellen und verlängern.
Produktsupport
In der folgenden Tabelle ist die Unterstützung für von Google verwaltete und selbstverwaltete Certificate Manager-Zertifikate nach Produkt zusammengefasst.
| Produkt | Von Google verwaltete Zertifikate | Selbstverwaltete Zertifikate | ||
|---|---|---|---|---|
| Load-Balancer-Autorisierung | DNS-Autorisierung | Certificate Authority Service (CA Service) | ||
Globale externe Application Load Balancer und Proxy-Network Load Balancer
|
Bereitstellungsanleitung |
Bereitstellungsanleitung |
Bereitstellungsanleitung |
Bereitstellungsanleitung |
Regionale externe und interne Application Load Balancer:
|
Bereitstellungsanleitung |
Bereitstellungsanleitung |
Bereitstellungsanleitung |
|
| Regionsübergreifende interne Application Load Balancer | Bereitstellungsanleitung |
Bereitstellungsanleitung |
Bereitstellungsanleitung |
|
| Secure Web Proxy-Gateways | Bereitstellungsanleitung |
Bereitstellungsanleitung |
Bereitstellungsanleitung |
|
| Media CDN-Edge-Cache-Dienste | ||||
Nächste Schritte
- Wenn Sie ein vorhandenes Zertifikat von Ihrem Load Balancer zu Certificate Manager migrieren möchten, folgen Sie der Anleitung unter Zertifikat zu Certificate Manager migrieren.
- Weitere Informationen zum Zertifikatmanager und zu GFE-basierten Load Balancern finden Sie unter Funktionsweise des Zertifikatmanagers.
- Wenn Sie die gegenseitige TLS-Authentifizierung (mTLS) verwenden möchten, lesen Sie den Abschnitt Gegenseitige TLS-Authentifizierung in der Dokumentation zu Cloud Load Balancing.