Мой основной домен www.example.com размещен на маршруте 53 в AWS.
Хороший выбор.Маршрут 53 - очень хороший сервис для DNS.Если ваши сервисы будут размещаться в AWS еще лучше.Если ваши службы будут размещаться в Google Cloud, рассмотрите возможность изменения серверов имен на Google DNS.Все зависит от того, какие услуги вы планируете использовать и где они расположены (например, поставщик облачных услуг, а не географическое местоположение).
Я создал пользовательский домен в Google Cloud sub.example.com и настроилсоответствующие записи NS.
Надеюсь, вы имеете в виду, что вы изменили записи NS у регистратора, а не в пределах маршрута 53.
Теперь я хочу создатьновый управляемый сертификат SSL для этого субдомена, как показано ниже: Возможно ли это?
Зависит.Управляемые SSL-сертификаты Google могут использоваться только с такими службами Google, как балансировщики нагрузки.Однако внутренние службы могут быть где угодно при условии, что они имеют общедоступные IP-адреса.AWS также предлагает управляемые SSL-сертификаты для своих служб, таких как балансировщики нагрузки, CloudFront и т. Д. Если ваша цель - использовать управляемые SSL-сертификаты Google непосредственно на ваших вычислительных экземплярах и т. Д., Вы не сможете.Google не предоставляет закрытый ключ, необходимый для установки и настройки SSL.
Это хорошая практика, учитывая, что я хочу продолжить добавление дополнительных поддоменов, таких как sub1.example.com, и создание сертификата длякаждый?
Зависит.Для самоуправляемых SSL-сертификатов Google вы можете создать один SSL-сертификат с подстановочными знаками и / или конкретными именами доменов.Если вы обычный пользователь, с подстановочными сертификатами все в порядке (* .example.com).Несколько имен также хорошо (site1.example.com, site2.example.com и т. Д.).Вы также можете создавать отдельные сертификаты SSL для каждого доменного имени.Для доменного имени www, как правило, вы хотите создать сертификат с двумя именами (example.com и www.example.com).Для финансовых учреждений и т. Д. Обычно используются сертификаты EV (Extended Validation) (которые Google не предлагает).
У управляемых SSL-сертификатов Google есть ограничения по сравнению со стандартными SSL-сертификатами:
- Подстановочные знакине поддерживаются.
- Выдаются только сертификаты SSL DV (проверка домена).
- Одно имя хоста на сертификат.
- Балансировщики нагрузки поддерживают до 10 сертификатов.
Поскольку я храню example.com на маршруте 53, я не думаю, что смогу создать единый управляемый сертификат SSL для всех возможных поддоменов, которые могут быть в Google Cloud?
Маршрут 53 не повлиял на ваш выбор или состояние SSL-сертификатов.Маршрут 53 является DNS-сервером, который разрешает имена DNS.SSL (TLS / HTTPS) - это протокол, который не затрагивается и не управляется маршрутом 53.
Сертификаты Google Managed SSL ограничены одним именем на сертификат.Самостоятельно управляемые SSL-сертификаты Google могут иметь несколько имен для каждого сертификата.