为子域创建 Google Cloud Managed SSL 证书

我的主域 www.example.com 托管在 AWS 上的 Route 53 上。

好的选择。Route 53 是一项非常好的 DNS 服务。如果您的服务将托管在 AWS 中，那就更好了。如果您的服务将托管在 GCP 中，请考虑将名称服务器更改为 Google DNS。一切都取决于您计划使用哪些服务以及它们位于何处（例如云供应商，而不是地理位置）。

我已经在 Google Cloud sub.example.com 上创建了自定义域并设置了相应的 NS 记录。

我希望您的意思是您在注册商处更改了 NS 记录，而不是在 Route 53 内。

我现在想做的是为这个子域创建一个新的托管 SSL 证书，如下所示：这可能吗？

依靠。Google Managed SSL 证书只能与 Google 服务（例如负载平衡器）一起使用。但是，后端服务可以在任何地方，只要它们具有公共 IP 地址。AWS 还为其服务（例如负载均衡器、CloudFront 等）提供托管 SSL 证书。如果您的目标是直接在计算实例等上使用 Google 托管 SSL 证书，则您不能。Google 不提供安装和设置 SSL 所需的私钥。

鉴于我想继续添加更多子域（如 sub1.example.com 并为每个子域创建证书），这是一种很好的做法吗？

依靠。对于 Google 自行管理的 SSL 证书，您可以使用通配符和/或特定域名创建单个 SSL 证书。如果您是典型用户，通配符证书就可以了 (*.example.com)。多个名称也可以（site1.example.com、site2.example.com 等）。您还可以为每个域名创建单独的 SSL 证书。对于 www 域名，通常要创建具有两个名称（example.com 和 www.example.com）的证书。对于金融机构等，通常使用 EV（扩展验证）证书（Google 不提供）。

Google Managed SSL 证书对标准 SSL 证书有以下限制：

• 不支持通配符。
• 仅颁发 DV（域验证）SSL 证书。
• 每个证书的单个主机名。
• 负载均衡器最多支持 10 个证书。

由于我将 example.com 托管在 Route 53 上，我认为我无法为 GCP 上可能拥有的所有可能的子域创建单个托管 SSL 证书？

Route 53 对您对 SSL 证书的选择或策略没有影响。Route 53 是解析 dns 名称的 DNS 服务器。SSL (TLS / HTTPS) 是一种不受 Route 53 影响或管理的协议。

Google Managed SSL 证书仅限于每个证书的一个名称。Google 自行管理的 SSL 证书每个证书可以有多个名称。