Как получить сертификат Google для моей службы за балансировщиком нагрузки l4

Я использую брокер mqtt за службой типа gke LoadBalancer. Служба типа lb представляет собой балансировщик нагрузки l4, и мне нужно обрабатывать завершение tls на уровне моей службы/брокера.

Я связал запись A с IP-адресом балансировщика нагрузки (скажем, mqtt.example.com) и пытаюсь заставить Google выдать общедоступный сертификат для mqtt.example.com (обратите внимание, что мы управляем example.com с помощью облачного DNS)

Проблема в том, что сертификат, управляемый Google, НЕ передает закрытый ключ, поэтому я не могу создать сертификат для своей службы. Есть ли другой способ получить сертификат + ключ, выданный Google, чтобы я мог использовать его на своем уровне обслуживания.