本页面概述了 Certificate Manager 的核心组件和概念。
证书
“证书”是指为特定域名或域名通配符颁发的 X.509 传输层安全协议 (TLS) (SSL) 证书。
Certificate Manager 支持以下类型的证书:
- 由 Google 管理的证书: Google Cloud为您获取和管理的证书。在颁发或续订新的 Google 管理型证书时,Certificate Manager 会为证书使用新生成的私钥。
- 自行管理的证书:您自行获取、预配和续订的证书。
Google 管理的证书
Google 管理的证书是 Google Cloud 为您获取和管理的 TLS 证书。借助 Certificate Manager,您可以创建、管理和自动续订 Google 管理的证书。借助 Certificate Manager,您还可以使用基于负载均衡器的授权或基于 DNS 的授权来验证域名所有权。
Certificate Manager 支持 Public Certificate Authority 机构 (CA) 和 Let's Encrypt CA。默认情况下,Public CA 会颁发 Google 代管式证书。如果您无法从 Public CA 为特定网域获取证书,证书管理器会回退到 Let's Encrypt CA。当 Public CA 拒绝为网域颁发证书,或者您的证书授权机构授权 (CAA) 记录明确禁止 Public CA 为该网域颁发证书时,就可能会发生这种情况。如需详细了解如何限制可能为您的网域颁发证书的 CA,请参阅指定可颁发您的 Google 管理的证书的 CA。
在将 Google 管理的证书与证书管理器搭配使用时,请注意以下一些重要事项:
- Certificate Manager 支持 RSA Google 管理的证书。
- Google 管理的区域级证书仅支持基于 DNS 的授权,并从公共 CA 获取证书。
- 不支持将 Google 管理的证书用作双向 TLS 的客户端证书。
- 除
EDGE_CACHE(有效期为 30 天)之外,所有其他范围的 Google 管理的公共证书的默认有效期均为 90 天。不支持更改 Google 管理的公共证书的有效期。
公共证书和私钥
Certificate Manager 可以管理公共和私有证书。证书管理器会从公共 CA 获取公共证书,这些证书通常用于保护公共服务。主流浏览器、操作系统和应用都将 Public CA 视为信任根。Certificate Manager 会从 CA Service 获取私有证书,这些证书通常用于保护私有服务。
自行管理的证书
如果您因业务要求而无法使用 Google 管理的证书,则可以上传外部 CA 颁发的证书及其关联的密钥。您必须手动颁发和续订这些自有证书。
网域授权
借助 Certificate Manager,您可以通过以下任一方式证明您要为哪些网域颁发 Google 管理的证书:
负载均衡器授权:直接将证书部署到受支持的负载均衡器,而无需创建 DNS 记录。
DNS 授权:创建专用 DNS 记录以验证网域所有权后,将证书直接部署到受支持的负载平衡器。
如需了解详情,请参阅 Google 管理的证书的网域授权类型。
您无需为自行管理的证书进行网域授权。
证书映射
证书映射会引用一个或多个证书映射条目,以将特定证书分配给特定主机名。证书映射条目还定义了负载均衡器在建立客户端连接时遵循的选择逻辑。您可以将证书映射与多个目标代理相关联,以便在多个负载平衡器中重复使用。
如果客户端请求证书映射中指定的主机名,负载平衡器会提供映射到该主机名的证书。否则,负载平衡器会提供主证书,即为目标代理列出的第一个证书。如需了解详情,请参阅 Certificate Manager 的运作方式。
以下负载平衡器支持证书映射:
- 全球外部应用负载均衡器
- 全局外部代理网络负载均衡器
如需详细了解如何创建和管理证书映射,请参阅管理证书映射。
证书映射条目
证书映射条目是针对特定网域名提供的证书列表。您可以为同一网域定义不同的证书组。例如,您可以上传 ECDSA 和 RSA 证书,并将它们映射到同一域名。
当客户端连接到域名时,负载均衡器会在握手期间协商要向客户端提供的证书类型。
您最多可以将 4 个证书与单个证书映射条目相关联。
如需详细了解如何创建和管理证书映射条目,请参阅管理证书映射条目。
信任配置
信任配置是一项资源,表示证书管理器中您可用于双向 TLS 身份验证场景的公钥基础架构 (PKI) 配置。它封装了单个受信任证书存储区,而该受信任证书存储区包含信任锚以及(可选)一个或多个中间证书。
如需详细了解双向 TLS (mTLS) 身份验证,请参阅 Cloud Load Balancing 文档中的双向 TLS 概览。
如需详细了解信任配置及其组件,请参阅管理信任配置。
受信任证书存储区
信任库表示证书管理器中可用于双向 TLS 身份验证场景的信任密钥配置。受信任证书存储区封装了一个信任锚以及(可选)一个或多个中间证书。
信任配置资源存在以下限制:
- 一个信任配置资源可以包含单个受信任证书存储区。
- 受信任证书存储区最多可存储 200 个信任锚和最多 100 个中间 CA 证书。
信任锚
信任锚表示可用于双向 TLS 身份验证场景的单个根证书。信任锚封装在受信任证书存储区中。
中间证书
中间证书是指由受信任证书存储区中的根证书或其他中间证书签名的证书。中间证书用于双向 TLS 身份验证。
如果您有任何中间证书,则可以将一个或多个中间证书封装在受信任证书存储区中,具体取决于您的 PKI 配置。除了现有中间证书之外,信任配置还包含所有中间证书,作为对所有连接请求进行信任评估的一部分。
需要列入许可名单的证书
如需允许客户端使用自签名证书、已过期证书或无效证书进行身份验证,请将证书添加到信任配置的 allowlistedCertificates 字段中。如果您无法访问根证书和中间证书,也可以添加证书。您无需受信任证书存储区即可将证书添加到许可名单中。
当您将证书添加到许可名单后,如果证书符合以下条件,Certificate Manager 会将其视为有效证书:
- 证书可解析。
- 客户端证明其拥有证书的私钥。
- 满足主题备用名称 (SAN) 字段的限制。
证书颁发配置
证书颁发配置是一种资源,可让 Certificate Manager 使用您自己的 Certificate Authority Service 实例中的 CA 池颁发 Google 管理的证书。借助证书颁发配置,您可以指定证书颁发和到期参数,以及颁发的证书的密钥算法。
如需详细了解如何创建和管理证书颁发配置,请参阅管理证书颁发配置资源。