Создать SSL-сертификат, управляемый Google Cloud для субдомена
Мой основной домен www.example.com размещен на Route 53 на AWS.
Я создал персональный домен в Google Cloud sub.example.com и установите соответствующие записи NS.
Теперь я хочу создать новый управляемый сертификат SSL для этого субдомена, как показано ниже:
Возможно ли это? Является ли хорошей практикой, учитывая, что я хочу продолжать добавлять дополнительные поддомены, такие как sub1.example.com , и создавать сертификат для каждого из них? Поскольку я сохраняю example.com , размещенный на Route 53, я не думаю, что смогу создать единый управляемый сертификат SSL для всех возможных поддоменов, которые могут быть у меня в Google Cloud?
Ответ уже размещен здесь Джоном Х. Повторное размещение в виде вики сообщества.
Мой основной домен www.example.com размещен на Маршрут 53 на AWS
Хороший выбор. Route 53 - очень хороший сервис для DNS. Еще лучше, если ваши сервисы будут размещены в AWS. Если ваши службы будут размещаться в Google Cloud, рассмотрите возможность изменения серверов имен на Google DNS. Все зависит от того, какие сервисы вы планируете использовать и где они расположены (например, поставщик облачных услуг, а не географическое местоположение).
Я создал собственный домен в Google Cloud sub.example.com и установил соответствующие записи NS.
Я надеюсь, вы имеете в виду, что вы изменили записи NS в регистраторе, а не в Route 53.
Сейчас я хочу создать новый управляемый сертификат SSL для этого поддомен, как показано ниже: Возможно ли это?
Зависит. Сертификаты SSL, управляемые Google, можно использовать только с такими службами Google, как балансировщики нагрузки. Однако серверные службы могут быть где угодно, если у них есть общедоступные IP-адреса. AWS также предлагает управляемые SSL-сертификаты для своих сервисов, таких как балансировщики нагрузки, CloudFront и т. Д. Если ваша цель - использовать сертификаты Google Managed SSL непосредственно на ваших вычислительных инстансах и т. Д., Вы не можете. Google не предоставляет закрытый ключ, необходимый для установки и настройки SSL.
Это хорошая практика, учитывая, что я хочу продолжить добавление поддомены, такие как sub1.example.com, и создание сертификата для каждого один?
Зависит. Для самоуправляемых SSL-сертификатов Google вы можете создать один SSL-сертификат с подстановочными знаками и / или определенными доменными именами. Если вы обычный пользователь, можно использовать групповые сертификаты (* .example.com). Также можно использовать несколько имен (site1.example.com, site2.example.com и т. Д.). Вы также можете создавать индивидуальные сертификаты SSL для каждого доменного имени. Для доменного имени www обычно требуется создать сертификат с двумя именами (example.com и www.example.com). Для финансовых учреждений и т. Д. Обычно используются сертификаты EV (расширенная проверка) (которые Google не предлагает).
Управляемые SSL-сертификаты Google имеют ограничения по сравнению со стандартными SSL-сертификатами:
- Подстановочные знаки не поддерживаются.
- Только DV (Проверка домена) Выдаются сертификаты SSL.
- Одно имя хоста для каждого сертификата.
- Балансировщики нагрузки поддерживают до 10 сертификатов.
Поскольку я размещаю example.com на Route 53, я не думаю, что смогу создать единый управляемый сертификат SSL для всех возможных поддомены, которые у меня могут быть в Google Cloud?
Route 53 не повлиял на ваш выбор или статус для сертификатов SSL. Route 53 - это DNS-сервер, который разрешает DNS-имена. SSL (TLS / HTTPS) - это протокол, на который не влияет и не управляет Route 53.
Сертификаты SSL, управляемые Google, ограничены одним именем на сертификат. Сертификаты SSL с самоуправлением Google могут иметь несколько имен для одного сертификата.