Назад | Перейти на главную страницу

Создать управляемый SSL-сертификат Google Cloud для субдомена

У меня есть мой основной домен www.example.com размещен на Route 53 в AWS.

Я создал собственный домен в Google Cloud sub.example.com и установите соответствующие записи NS.

Теперь я хочу создать новый управляемый сертификат SSL для этого поддомена, как показано ниже:

Это возможно? Это хорошая практика, учитывая, что я хочу продолжить добавление дополнительных поддоменов, таких как sub1.example.com и создать сертификат для каждого? Поскольку я храню example.com размещенный на Route 53, я не думаю, что смогу создать единый управляемый сертификат SSL для всех возможных поддоменов, которые могут быть у меня в Google Cloud?

Ответ уже опубликован Вот Джона Х. Перепубликация как вики сообщества.

Мой основной домен www.example.com размещен на Route 53 в AWS.

Хороший выбор. Route 53 - очень хороший сервис для DNS. Еще лучше, если ваши сервисы будут размещены в AWS. Если ваши службы будут размещены в Google Cloud, рассмотрите возможность изменения серверов имен на Google DNS. Все зависит от того, какие сервисы вы планируете использовать и где они расположены (например, облачный поставщик, а не географическое местоположение).

Я создал собственный домен в Google Cloud sub.example.com и установил соответствующие записи NS.

Я надеюсь, вы имеете в виду, что вы изменили записи NS у регистратора, а не в Route 53.

Сейчас я хочу создать новый управляемый сертификат SSL для этого поддомена, как показано ниже: Возможно ли это?

Смотря как. Сертификаты SSL, управляемые Google, можно использовать только с такими службами Google, как балансировщики нагрузки. Однако серверные службы могут находиться где угодно, если у них есть общедоступные IP-адреса. AWS также предлагает управляемые SSL-сертификаты для своих сервисов, таких как балансировщики нагрузки, CloudFront и т. Д. Если ваша цель - использовать сертификаты Google Managed SSL непосредственно на ваших вычислительных инстансах и т. Д., Вы не можете. Google не предоставляет закрытый ключ, необходимый для установки и настройки SSL.

Является ли хорошей практикой то, что я хочу продолжить добавление дополнительных поддоменов, таких как sub1.example.com, и создание сертификата для каждого из них?

Смотря как. Для самоуправляемых SSL-сертификатов Google вы можете создать один SSL-сертификат с подстановочными знаками и / или определенными доменными именами. Если вы обычный пользователь, можно использовать групповые сертификаты (* .example.com). Также можно использовать несколько имен (site1.example.com, site2.example.com и т. Д.). Вы также можете создавать индивидуальные сертификаты SSL для каждого доменного имени. Для доменного имени www обычно требуется создать сертификат с двумя именами (example.com и www.example.com). Для финансовых учреждений и т. Д. Обычно используются сертификаты EV (Extended Validation) (которые Google не предлагает).

SSL-сертификаты Google Managed имеют ограничения по сравнению со стандартными SSL-сертификатами:

  • Подстановочные знаки не поддерживаются.
  • Выдаются только SSL-сертификаты DV (проверка домена).
  • Одно имя хоста на сертификат.
  • Балансировщики нагрузки поддерживают до 10 сертификатов.

Поскольку я сохраняю example.com на Route 53, я не думаю, что могу создать единый управляемый сертификат SSL для всех возможных поддоменов, которые могут быть у меня в Google Cloud?

Маршрут 53 не повлиял на ваш выбор или статус SSL-сертификатов. Route 53 - это DNS-сервер, который разрешает DNS-имена. SSL (TLS / HTTPS) - это протокол, на который не влияет и не управляет Route 53.

Сертификаты SSL, управляемые Google, могут иметь только одно имя на сертификат. Сертификаты SSL с самоуправлением Google могут иметь несколько имен для каждого сертификата.