答案1
答案已经发布这里作者:John H. 转载自社区维基。
我的主域名 www.example.com 托管在 AWS 上的 Route 53 上。
不错的选择。Route 53 是一项非常好的 DNS 服务。如果您的服务将托管在 AWS 中,那就更好了。如果您的服务将托管在 Google Cloud 中,请考虑将名称服务器更改为 Google DNS。一切都取决于您计划使用哪些服务以及它们位于何处(例如云供应商,而不是地理位置)。
我已经在 Google Cloud sub.example.com 上创建了自定义域并设置了适当的 NS 记录。
我希望您的意思是您在注册商处更改了 NS 记录,而不是在 Route 53 内更改了 NS 记录。
我现在想要做的是为这个子域创建一个新的托管 SSL 证书,如下所示:这可能吗?
视情况而定。Google 托管 SSL 证书只能用于 Google 服务(例如负载均衡器)。但是,后端服务可以位于任何地方,只要它们具有公共 IP 地址。AWS 还为其服务(例如负载均衡器、CloudFront 等)提供托管 SSL 证书。如果您的目标是直接在计算实例等上使用 Google 托管 SSL 证书,则无法实现。Google 不提供安装和设置 SSL 所需的私钥。
如果我想继续添加更多子域名(如 sub1.example.com)并为每个子域名创建证书,这是否是一种好的做法?
视情况而定。对于 Google 自行管理的 SSL 证书,您可以创建带有通配符和/或特定域名的单个 SSL 证书。如果您是普通用户,通配符证书就很好 (*.example.com)。多个名称也可以 (site1.example.com、site2.example.com 等)。您还可以为每个域名创建单独的 SSL 证书。对于 www 域名,通常您希望创建一个带有两个名称的证书 (example.com 和 www.example.com)。对于金融机构等,通常使用 EV(扩展验证)证书(Google 不提供)。
与标准 SSL 证书相比,Google 管理的 SSL 证书有以下限制:
- 不支持通配符。
- 仅颁发 DV(域验证)SSL 证书。
- 每个证书单个主机名。
- 负载均衡器最多支持 10 个证书。
由于我将 example.com 托管在 Route 53 上,我认为我无法为 Google Cloud 上可能拥有的所有子域创建单个托管 SSL 证书?
Route 53 不会影响您对 SSL 证书的选择或策略。Route 53 是一个解析 DNS 名称的 DNS 服务器。SSL(TLS/HTTPS)是一种不受 Route 53 影响或管理的协议。
每个 Google 管理的 SSL 证书仅限一个名称。每个 Google 自行管理的 SSL 证书可以有多个名称。