为子域创建Google Cloud Managed SSL证书

Question

我的主域www.example.com托管在AWS的Route 53上。

我已经在Google Cloud sub.example.com上创建了自定义域，并设置了适当的NS记录。

我现在要做的是为此子域创建一个新的托管SSL证书，如下所示：

这可能吗？考虑到我想继续添加更多sub1.example.com这样的子域并为每个域创建证书，这是一种好习惯吗？由于我将example.com托管在53号公路上，因此我认为我无法为我可能在Google Cloud上拥有的所有可能的子域创建一个托管的SSL证书吗？

Answer 1

  

我的主要域名www.example.com托管在AWS的Route 53上。

好选择。路由53对于DNS是一项非常好的服务。如果您的服务将更好地托管在AWS中。如果您的服务将托管在Google Cloud中，请考虑将名称服务器更改为Google DNS。所有这些都取决于您计划使用的服务以及它们的位置（例如，云供应商，而不是地理位置）。

  

我已经在Google Cloud sub.example.com上创建了自定义域，并进行了设置   适当的NS记录。

我希望您的意思是您在注册服务机构而不是在Route 53内更改了NS记录。

  

我现在要做的是为此创建一个新的托管SSL证书   子域，如下所示：这可能吗？

取决于。 Google托管的SSL证书只能与负载均衡器之类的Google服务一起使用。但是，只要后端服务具有公共IP地址，它就可以在任何地方。 AWS还为其负载平衡器，CloudFront等服务提供托管SSL证书。如果您的目标是直接在计算实例上使用Google托管SSL证书，则不能。 Google不提供安装和设置SSL所需的私钥。

  

鉴于我想继续添加更多内容，这是一种好的做法吗？   子域（例如sub1.example.com），并为每个子域创建一个证书   一个？

取决于。对于Google自我管理的SSL证书，您可以创建带有通配符和/或特定域名的单个SSL证书。如果您是典型用户，可以使用通配符证书（* .example.com）。也可以使用多个名称（site1.example.com，site2.example.com等）。您还可以为每个域名创建单独的SSL证书。对于www域名，通常要创建一个具有两个名称的证书（example.com和www.example.com）。对于金融机构等，通常使用EV（扩展验证）证书（Google不提供）。

Google托管SSL证书对标准SSL证书有限制：

• 不支持通配符。
• 仅颁发DV（域验证）SSL证书。
• 每个证书的单个主机名。
• 负载均衡器最多支持10个证书。

  

由于我将example.com托管在53号公路上，因此我认为我不能   为所有可能的情况创建一个托管的SSL证书   我可能在Google Cloud上拥有哪些子域？

Route 53对您选择SSL证书的方式或策略没有影响。路由53是解析DNS名称的DNS服务器。 SSL（TLS / HTTPS）是不受Route 53影响或不受其管理的协议。

Google托管的SSL证书每个证书只能使用一个名称。 Google自我管理的SSL证书每个证书可以有多个名称。