Estou executando um corretor mqtt por trás do serviço do tipo gke LoadBalancer. O serviço do tipo lb é um balanceador de carga l4 e preciso lidar com a terminação tls em meu nível de serviço/agente.
Associei um registro A ao ip do balanceador de carga (digamos, mqtt.example.com) e estou tentando fazer com que o Google emita um certificado público para mqtt.example.com (observe que gerenciamos example.com usando cloud dns)
O problema é que o certificado gerenciado pelo Google NÃO compartilha a chave privada, portanto, não consigo criar o certificado para meu serviço. Existe alguma outra maneira de obter um certificado + chave emitido pelo Google para que eu possa usá-lo em meu nível de serviço.
Os certificados SSL gerenciados pelo Google estão disponíveis apenas para determinados serviços do Google Cloud. Você não pode instalar o certificado em seus próprios serviços. O Google não fornece acesso à chave privada.
Suas opções são usar um serviço como o Let's Encrypt ou comprar um certificado.
Seu caso de uso para lidar com o encerramento de TLS em seu corretor/serviço está correto, pois os balanceadores de carga L4 não podem encerrar o tráfego SSL . Portanto, você não pode usar certificados SSL gerenciados pelo Google para isso. Será melhor seguir a sugestão de John de usar o Let's Encrypt ou comprar um certificado.