本页面概述了如何使用证书管理服务为应用负载平衡器和代理网络负载平衡器预配由 Google 管理的证书和自行管理的证书。
在阅读本页面之前,请确保您熟悉 Cloud Load Balancing 文档中的 SSL 证书概览。
Certificate Manager 配置方法
Certificate Manager 为使用目标 HTTPS 代理的应用负载平衡器以及使用目标 SSL 代理的代理网络负载平衡器提供了两种证书配置方法。这是 Cloud Load Balancing 的三种可能的证书配置方法中的两种。如需详细了解 Certificate Manager 和 Cloud Load Balancing,请参阅负载均衡文档中的证书配置方法。
负载均衡器的目标代理引用 Certificate Manager 证书映射:负载均衡器的目标代理会引用单个证书映射。证书映射默认支持数千个条目,并且可以扩展到数百万个条目。此方法由以下负载平衡器使用:由 Google Front End (GFE) 前端提供支持的外部应用负载平衡器和外部代理网络负载平衡器:
- 全局外部应用负载均衡器
- 传统应用负载均衡器
- 全球外部代理网络负载均衡器
- 传统代理网络负载均衡器
负载均衡器的目标代理直接引用 Certificate Manager 证书:负载均衡器的目标代理最多可以引用 100 个 Certificate Manager 证书。以下应用负载平衡器使用此方法,这些负载平衡器由托管式开源 Envoy 代理软件提供支持:
- 区域外部应用负载均衡器
- 区域级内部应用负载均衡器
- 跨区域内部应用负载均衡器
Certificate Manager 还支持以下产品,这些产品在配置中引用 Certificate Manager 证书:
安全 Web 代理网关引用 Certificate Manager 证书:在配置安全 Web 代理网关之前,您需要先创建一个或多个供网关使用的 Certificate Manager 证书。如需了解详情,请参阅部署 SSL 证书和部署安全 Web 代理实例。
媒体 CDN 边缘缓存服务引用 Certificate Manager 证书:一个媒体 CDN 边缘缓存服务最多支持五个 Certificate Manager 证书。如需了解详情,请参阅 SSL (TLS) 证书和配置 SSL (TLS) 证书。
证书类型
Certificate Manager 支持 Google 管理的证书和自行管理的证书。所有使用目标 HTTPS 代理的应用负载平衡器以及所有支持目标 SSL 代理的代理网络负载平衡器都可以使用 Google 管理的或自行管理的 Certificate Manager 证书。
Google 管理的 Certificate Manager 证书: Google Cloud 为您获取和管理的证书。Google 管理的 Certificate Manager 证书可以通过以下方式进行预配:使用负载均衡器授权、DNS 授权或使用 Certificate Authority Service (CA Service),具体取决于负载均衡器及其 Certificate Manager 配置方法。
自行管理的 Certificate Manager 证书:您自行获取、预配和续订的证书。
产品支持
下表总结了各产品对 Google 管理的证书和自行管理的 Certificate Manager 证书的支持情况。
| 产品 | Google 管理的证书 | 自行管理的证书 | ||
|---|---|---|---|---|
| 负载均衡器授权 | DNS 授权 | Certificate Authority Service (CA Service) | ||
全球外部应用负载平衡器和代理网络负载平衡器
|
部署指南 |
部署指南 |
部署指南 |
部署指南 |
区域级外部和内部应用负载平衡器:
|
部署指南 |
部署指南 |
部署指南 |
|
| 跨区域内部应用负载均衡器 | 部署指南 |
部署指南 |
部署指南 |
|
| 安全 Web 代理网关 | 部署指南 |
部署指南 |
部署指南 |
|
| 媒体 CDN 边缘缓存服务 | ||||
后续步骤
- 如果您想将现有证书从负载均衡器迁移到 Certificate Manager,请按照将证书迁移到 Certificate Manager 中的说明操作。
- 如需详细了解 Certificate Manager 和基于 GFE 的负载平衡器,请参阅 Certificate Manager 的运作方式。
- 如果您想使用双向 TLS 身份验证 (mTLS),请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证。