本頁面提供 Certificate Manager 的核心元件和概念總覽。
憑證
憑證代表一項針對特定網域名稱或網域萬用字元核發的 X.509 傳輸層安全標準 (TLS) (SSL) 憑證。
Certificate Manager 支援下列類型的憑證:
- Google 代管憑證:由 Google Cloud為您取得及管理的憑證。核發或續約新的 Google 代管憑證時,憑證管理工具會使用新產生的憑證私密金鑰。
- 自行管理的憑證:您自行取得、佈建及更新的憑證。
Google 代管憑證
Google 代管憑證是 Google Cloud 為您取得及管理的 TLS 憑證。憑證管理員可讓您建立、管理及自動續訂 Google 代管憑證。您也可以使用負載平衡器或 DNS 授權,透過 Certificate Manager 驗證網域擁有權。
憑證管理工具支援公開憑證授權單位 (CA) 和 Let's Encrypt CA。根據預設,公開 CA 會核發 Google 代管憑證。如果無法從特定網域的公開 CA 取得憑證,憑證管理工具會改用 Let's Encrypt CA。如果公開 CA 拒絕為網域核發憑證,或是您的憑證授權單位授權 (CAA) 記錄明確禁止公開 CA 為該網域核發憑證,就可能發生這種情況。如要進一步瞭解如何限制可為網域核發憑證的 CA,請參閱「指定可核發 Google 管理憑證的 CA」。
使用憑證管理工具搭配 Google 管理的憑證時,請留意下列幾項重點:
- 憑證管理工具支援 RSA Google 代管憑證。
- 區域性 Google 代管憑證僅支援以 DNS 為基礎的授權,並從公開 CA 取得憑證。
- 不支援使用 Google 代管憑證做為雙向 TLS 的用戶端憑證。
- Google 管理的公開憑證預設效期為 90 天,但
EDGE_CACHE除外,該範圍的效期為 30 天。不支援變更公開 Google 代管憑證的效期。
公開和私密憑證
憑證管理工具可管理公開和私密憑證。憑證管理員會從公開 CA 取得公開憑證,這類憑證通常用於保護公開服務。主流瀏覽器、作業系統和應用程式會將公開 CA 視為信任根。憑證管理工具會從 CA 服務取得私人憑證,這些憑證通常用於保護私人服務。
自行管理的憑證
如果因業務需求而無法使用 Google 管理的憑證,可以上傳外部 CA 核發的憑證和相關聯的金鑰。您必須手動核發及續購這些自行管理的憑證。
支援的金鑰類型
負載平衡器支援使用不同金鑰類型私密金鑰的憑證。下表列出金鑰類型支援情形,取決於憑證是由您自行管理或由 Google 管理。|
SSL 憑證類型 arrow_forward 金鑰類型 arrow_downward |
Certificate Manager SSL 憑證 | ||
|---|---|---|---|
| 全域和區域 | |||
| 自行管理 | Google 代管的公開信任憑證 | 私下信任的 Google 代管憑證 | |
| RSA-2048 | |||
| RSA-3072 | |||
| RSA-4096 | |||
| ECDSA P-256 | |||
| ECDSA P-384 | |||
網域授權
如要為網域核發 Google 代管的憑證,您可以使用憑證管理工具,透過下列其中一種方式證明網域擁有權:
負載平衡器授權:直接將憑證部署至支援的負載平衡器,無須建立 DNS 記錄。
DNS 授權:建立專屬的 DNS 記錄來驗證網域擁有權後,直接將憑證部署至支援的負載平衡器。
詳情請參閱「Google 管理的憑證適用的網域授權類型」。
如果是自行管理的憑證,則不需要網域授權。
憑證對應關係
憑證對應關係會參照一或多個憑證對應項目,這些對應項目會將特定憑證指派給特定主機名稱。憑證對應項目也會定義負載平衡器建立用戶端連線時遵循的選取邏輯。您可以將憑證對應與多個目標 Proxy 建立關聯,以便在多個負載平衡器中重複使用。
如果用戶端要求憑證對應關係中指定的主機名稱,負載平衡器會提供對應至該主機名稱的憑證。否則,負載平衡器會提供主要憑證,也就是目標 Proxy 列出的第一個憑證。詳情請參閱「Certificate Manager 的運作方式」。
下列負載平衡器支援憑證對應:
- 全域外部應用程式負載平衡器
- 全域外部 Proxy 網路負載平衡器
如要進一步瞭解如何建立及管理憑證對應關係,請參閱「管理憑證對應關係」。
憑證對應項目
憑證對應項目是為特定網域名稱提供服務的憑證清單。您可以為相同網域定義不同的憑證集。舉例來說,您可以上傳 ECDSA 和 RSA 憑證,並將兩者對應至相同網域名稱。
用戶端連線至網域名稱時,負載平衡器會在握手期間,與用戶端交涉要提供的憑證類型。
單一憑證地圖項目最多可關聯四個憑證。
如要進一步瞭解如何建立及管理憑證對應項目,請參閱「管理憑證對應項目」。
信任設定
「信任設定」是 Certificate Manager 中的資源,代表您的公用金鑰基礎架構 (PKI) 設定,會用於雙向傳輸層安全標準 (mTLS) 驗證作業。此設定包含一個信任儲存庫,其中封裝了一個信任錨點,以及一或多個中繼憑證 (屬於選用性質)。
如要進一步瞭解相互傳輸層安全標準 (mTLS) 驗證,請參閱 Cloud Load Balancing 說明文件中的相互傳輸層安全標準 (mTLS) 總覽。
如要進一步瞭解信任設定及其元件,請參閱「管理信任設定」。
信任儲存庫
信任存放區代表 Certificate Manager 中的信任密鑰設定,會用於雙向傳輸層安全標準 (mTLS) 驗證作業。信任儲存庫包含一個信任錨點,以及一或多個中繼憑證 (屬於選用性質)。
信任設定資源有下列限制:
- 信任設定資源可保留單一信任儲存區。
- 信任儲存庫最多可保存 200 個信任錨點,以及最多 100 個中繼 CA 憑證。
信任錨點
信任錨點代表單一根憑證,用於雙向傳輸層安全標準 (mTLS) 驗證作業。信任錨點會封裝在信任儲存庫中。
中繼憑證
中繼憑證是由信任儲存庫中的根憑證或其他中繼憑證簽署的憑證。中繼憑證用於雙向 TLS 驗證。
如果您有任何中繼憑證,可以視 PKI 設定,將一或多個中繼憑證封裝在信任儲存庫中。除了現有的中繼憑證,信任設定還會將所有中繼憑證納入所有連線要求的信任評估。
需要加入許可清單的憑證
如要允許用戶端使用自行簽署、過期或無效的憑證進行驗證,請將憑證新增至信任設定的 allowlistedCertificates 欄位。如果無法存取根憑證和中繼憑證,也可以新增憑證。將憑證新增至許可清單時,不需要信任儲存區。
將憑證加入允許清單後,如果憑證符合下列條件,憑證管理工具就會將其視為有效:
- 憑證可剖析。
- 用戶端會證明自己擁有憑證的私密金鑰。
- 符合主體別名 (SAN) 欄位的限制。
憑證核發設定
憑證核發設定是一種資源,可讓憑證管理工具使用您自有 憑證授權單位服務執行個體的 CA 集區,核發 Google 代管憑證。憑證核發設定可讓您指定憑證核發和到期的參數,以及所核發憑證的金鑰演算法。
如要進一步瞭解如何建立及管理憑證核發設定,請參閱「管理憑證核發設定資源」。