自行管理的 SSL 证书是您自行获取、预配和续订的证书。您可以使用此资源来确保客户端与负载均衡器之间的通信安全。
自行管理的证书可以是以下证书类型的任意组合:
- 网域验证 (DV)
- 组织验证 (OV)
- 扩展验证 (EV)
以下负载均衡器支持自行管理的证书:
- 全球证书
- 全球外部应用负载均衡器
- 传统应用负载均衡器
- 外部代理网络负载均衡器(使用目标 SSL 代理)
- 区域证书
- 区域级外部应用负载均衡器
- 区域级内部应用负载均衡器
本页介绍获取有效 Compute Engine 证书,然后上传证书以创建 Google CloudSSL 证书资源的过程。
如需使用 Certificate Manager 创建 Google 管理的证书,请参阅部署概览。
须知事项
- 请确保您熟悉 SSL 证书概览。
- 请确保您拥有要用于自行管理的 SSL 证书的域名。如果您使用的是 Cloud Domains,请参阅第 1 步:使用 Cloud Domains 注册域名。
权限
如需执行本指南中的任务,您必须能够在项目中创建和修改 SSL 证书。如果存在以下任一情况,您可以执行此操作:
- 您是 Project Owner 或 Project Editor(
roles/owner或roles/editor)。 - 您在项目中同时拥有 Compute Security Admin 角色 (
compute.securityAdmin) 和 Compute Network Admin 角色 (compute.networkAdmin)。 - 您在项目中拥有自定义角色,该角色包含
compute.sslCertificates.*权限以及compute.targetHttpsProxies.*和/或compute.targetSslProxies.*,具体取决于您使用的负载均衡器类型。
第 1 步:创建私钥和证书
如果您已具有证书授权机构 (CA) 颁发的私钥和证书,请跳过此部分并转到创建 SSL 证书资源。
选择或创建私钥
Google Cloud SSL 证书同时包含私钥和证书本身,两者均采用 PEM 格式。您的私钥必须符合以下条件:
- 必须采用 PEM 格式。
- 无法通过密码进行保护。 Google Cloud 以专属加密格式存储您的私钥。
- 其加密算法必须是 RSA 或 ECDSA。如需了解可以使用哪些密钥类型,请参阅