在Google Cloud上配置SSL证书的流程主要包括证书申请、域名验证、安装配置及自动续订等步骤。下面是详细的操作指南:
一、申请SSL证书
1. 登录Google Cloud控制台
进入Google Cloud控制台,选择目标项目。若未创建项目,需先新建。
2. 进入SSL证书管理页面
导航至左侧菜单栏的 Security(安全) > SSL Certificates(SSL证书),点击 Create Certificate(创建证书)
3. 填写证书信息
输入证书名称和域名(支持主域名和子域名)。
选择证书类型:
Google管理的证书:自动签发,适用于简单场景,需验证域名所有权。
第三方CA证书:需上传已有的证书文件和私钥(如Let's Encrypt证书)。
4. 域名验证
Google管理的证书:需通过DNS验证,在域名解析中添加指定的TXT记录以验证所有权。
第三方证书:需在购买证书时完成域名验证(如通过HTTP文件上传或DNS记录)。
二、安装SSL证书
安装步骤因服务类型不同而有所差异:
1. Google App Engine
转换证书格式:将第三方证书(如.crt文件)转换为PEM格式(合并主证书和中间证书)。
上传证书:
进入 Security > SSL for Custom Domains,上传PEM证书和私钥文件,选择服务模式(如SNI)并绑定域名。
更新DNS记录:修改域名的CNAME记录指向Google分配的地址。
2. Compute Engine(如Nginx/Apache服务器)
上传证书文件:通过SCP或SFTP将证书(.crt)和私钥(.key)文件上传至服务器指定目录。
配置Web服务器:
Nginx:在配置文件中添加:
nginx
复制
ssl_certificate /path/to/certificate.crt;
ssl_certificate_key /path/to/private.key;
Apache:在httpd.conf中添加:
apache
复制
SSLCertificateFile /path/to/certificate.crt
SSLCertificateKeyFile /path/to/private.key
重启服务器使配置生效。
3. Kubernetes(GKE)
使用kubectl创建Secret:
bash
复制
kubectl create secret tls <secret-name> --cert=path/to/cert.crt --key=path/to/private.key
在Ingress配置中引用该Secret。
三、验证SSL证书
访问网站,检查浏览器地址栏是否显示“https://”及锁形图标。
使用在线工具(如SSL Labs测试工具)检测证书配置是否完整。
四、自动续订证书(推荐)
Cert-Manager(适用于GKE):
安装Cert-Manager工具,配置Let's Encrypt自动签发和续订证书,支持DNS或HTTP验证。
Google管理的证书:自动续订,无需手动操作。
第三方证书:需通过脚本或CronJob定期更新证书并重新部署。
常见问题
证书格式问题:确保PEM文件包含完整证书链,格式正确(如-----BEGIN CERTIFICATE-----头尾标记)。
混合内容警告:检查网页中是否加载了非HTTPS资源(如图片、脚本)。
客户通过以上步骤,就可以在Google Cloud的不同服务中高效配置SSL证书。具体操作细节可参考Google官方文档或相关服务指南。
