Создайте управляемый SSL-сертификат Google Cloud для субдомена

Ответ уже размещен здесь Джоном Х. Повторно публикуется как вики сообщества.

У меня есть основной домен www.example.com, размещенный по маршруту 53 на AWS.

Хороший выбор. Маршрут 53 - очень хороший сервис для DNS. Если ваши сервисы будут размещаться в AWS еще лучше. Если ваши службы будут размещаться в Google Cloud, рассмотрите возможность изменения серверов имен на Google DNS. Все зависит от того, какие услуги вы планируете использовать и где они расположены (например, поставщик облачных услуг, а не географическое местоположение).

Я создал собственный домен в Google Cloud sub.example.com и установил соответствующие записи NS.

Я надеюсь, что вы имеете в виду, что вы изменили записи NS в регистраторе, а не в Route 53.

Теперь я хочу создать новый управляемый SSL-сертификат для этого субдомена, как показано ниже: Возможно ли это?

Зависит. Управляемые SSL-сертификаты Google могут использоваться только с такими службами Google, как балансировщики нагрузки. Однако внутренние службы могут быть где угодно при условии, что они имеют общедоступные IP-адреса. AWS также предлагает управляемые SSL-сертификаты для своих служб, таких как балансировщики нагрузки, CloudFront и т. Д. Если ваша цель - использовать управляемые SSL-сертификаты Google непосредственно на ваших вычислительных экземплярах и т. Д., Вы не сможете. Google не предоставляет закрытый ключ, необходимый для установки и настройки SSL.

Является ли это хорошей практикой, учитывая, что я хочу продолжить добавление дополнительных поддоменов, таких как sub1.example.com, и создание сертификата для каждого из них?

Зависит. Для самоуправляемых SSL-сертификатов Google вы можете создать один SSL-сертификат с подстановочными знаками и / или определенными доменными именами. Если вы обычный пользователь, с подстановочными сертификатами все в порядке (*.example.com). Несколько имен также хорошо (site1.example.com, site2.example.com и т. Д.). Вы также можете создавать отдельные сертификаты SSL для каждого доменного имени. Для доменного имени www, как правило, вы хотите создать сертификат с двумя именами (example.com и www.example.com). Для финансовых учреждений и т. Д. Обычно используются сертификаты EV (Extended Validation) (которые Google не предлагает).

Сертификаты Google Managed SSL имеют ограничения по сравнению со стандартными сертификатами SSL:

• Подстановочные знаки не поддерживаются.
• Выдаются только сертификаты DV (проверка домена).
• Одно имя хоста на сертификат.
• Балансировщики нагрузки поддерживают до 10 сертификатов.

Так как я храню example.com на маршруте 53, я не думаю, что смогу создать единый управляемый сертификат SSL для всех возможных поддоменов, которые могут быть в Google Cloud?

Маршрут 53 не повлиял на ваш выбор или состояние SSL-сертификатов. Маршрут 53 является DNS-сервером, который разрешает имена DNS. SSL (TLS / HTTPS) - это протокол, который не зависит от маршрута 53 и не управляется им.

Сертификаты Google Managed SSL ограничены одним именем на сертификат. Самостоятельно управляемые SSL-сертификаты Google могут иметь несколько имен для каждого сертификата.