我在 gke LoadBalancer 类型服务后面运行 mqtt 代理。lb 类型服务是 l4 负载均衡器,我需要在我的服务/代理级别处理 tls 终止。
我已将 A 记录与负载均衡器 IP(例如 mqtt.example.com)关联,并尝试让 Google 为 mqtt.example.com 颁发公共证书(请注意,我们使用云 DNS 管理 example.com)
问题是,Google 管理的证书不共享私钥,因此我无法为我的服务创建证书。有没有其他方法可以让我获得 Google 颁发的证书 + 密钥,以便在我的服务级别使用它。
答案1
Google 管理的 SSL 证书仅适用于某些 Google Cloud 服务。您无法在自己的服务上安装该证书。Google 不提供对私钥的访问权限。
您的选择是使用 Let's Encrypt 等服务或购买证书。
答案2
您在代理/服务中处理 TLS 终止的用例是正确的L4 负载均衡器无法终止 SSL 流量。因此您不能使用 Google 管理的 SSL 证书。最好按照 John 的建议使用 Let's Encrypt 或购买证书。