Administrar las autorizaciones de DNS

Las autorizaciones de DNS te permiten demostrar la propiedad de los dominios para los certificados administrados por Google. Cuando creas un certificado administrado por Google, puedes especificar una o más autorizaciones de DNS para usarlas en el aprovisionamiento y la renovación.

En esta página, se describe cómo crear y administrar autorizaciones de DNS para usarlas con certificados administrados por Google.

Para obtener más información, consulta Autorizaciones de dominio.

Crea una autorización de DNS

Una autorización de DNS solo cubre un solo nombre de dominio. Debes crear una autorización de DNS independiente para cada nombre de dominio que quieras usar con el certificado de destino.

Si creas una autorización de DNS para un certificado comodín, como *.myorg.example.com, configura la autorización de DNS para el dominio superior, por ejemplo, myorg.example.com.

Para administrar certificados de forma independiente en varios proyectos, puedes usar la autorización de DNS de PER_PROJECT_RECORD. El Administrador de certificados puede emitir y administrar certificados para cada proyecto de forma independiente dentro de Google Cloud. Las autorizaciones y los certificados de DNS que usas en un proyecto son independientes y no interactúan con los de otros proyectos.

Console

Puedes crear una autorización de DNS o adjuntar una existente cuando creas un certificado. Para obtener más información, consulta Crea un certificado administrado por Google que haga referencia a la autorización de DNS.

gcloud

Para crear una autorización de DNS, usa el comando certificate-manager dns-authorizations create:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    [--type=TYPE] \
    [–-location="LOCATION"]

Reemplaza lo siguiente:

  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • DOMAIN_NAME: Es el nombre del dominio de destino para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.
  • TYPE: Es el tipo de autorización de DNS. Puedes especificar FIXED_RECORD o PER_PROJECT_RECORD. Para obtener más información, consulta Autorización de DNS.
  • LOCATION: Es la ubicación Google Cloud de destino en la que creas la autorización de DNS.

Después de crear la autorización de DNS, verifícala con el comando certificate-manager dns-authorizations describe:

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME

El resultado es similar al siguiente. En el resultado, busca la línea dnsResourceRecord y obtén el registro CNAME (data, name y type) para agregarlo a la configuración de DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.myorg.example.com.
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform

Para crear una autorización de DNS, puedes usar un recurso google_certificate_manager_dns_authorization.

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "${local.name}-dnsauth-${random_id.tf_prefix.hex}"
  description = "The default dns auth"
  domain      = local.domain
  labels = {
    "terraform" : true
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear una autorización de DNS, realiza una solicitud POST al método dnsAuthorizations.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
  "domain": "DOMAIN_NAME",
  "type": "PER_PROJECT_RECORD" //optional
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: Es la ubicación Google Cloud de destino en la que creas la autorización de DNS. Para la ubicación global, usa global.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • DOMAIN_NAME: Es el nombre del dominio de destino para el que creas esta autorización de DNS. El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com.

Agrega el registro CNAME a tu configuración de DNS

Si usas una solución de DNS de terceros para administrar tu DNS, consulta su documentación para agregar el registro CNAME a la configuración de DNS. Si usas Google Cloud para administrar tu DNS, completa los pasos que se indican en esta sección.

Console

Para crear un conjunto de registros, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Zonas de DNS.

    Ir a Zonas de Cloud DNS

  2. Haz clic en el nombre de la zona de DNS en la que deseas agregar el registro.

  3. En la página Detalles de la zona, haz clic en Agregar estándar.

  4. En la página Crear conjunto de registros, en el campo Nombre de DNS, ingresa el subdominio de la zona de DNS.

    Cuando ingreses el nombre del subdominio, asegúrate de que el nombre del subdominio, incluido el texto inhabilitado que aparece en el campo Nombre de DNS, coincida con el valor completo del campo dnsResourceRecord.name, como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

    Consulta los ejemplos siguientes:

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .example.com., ingresa _acme-challenge.myorg.

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge.

    • Si el valor del campo dnsResourceRecord.name es _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. y el texto inhabilitado en el campo Nombre de DNS es .myorg.example.com., ingresa _acme-challenge_ujmmovf2vn55tgye.

  5. En el campo Tipo de registro de recursos, selecciona CNAME.

  6. En el campo TTL, ingresa un valor numérico positivo para el tiempo de actividad del registro de recursos. Este valor indica el tiempo que se puede almacenar en caché.

  7. En la lista Unidad TTL, selecciona la unidad de tiempo, por ejemplo, 30 minutes.

  8. En el campo Nombre canónico, ingresa el valor completo del campo dnsResourceRecord.data como se muestra en el resultado del comando gcloud certificate-manager dns-authorizations describe.

  9. Para ingresar información adicional, haz clic en Agregar elemento.

  10. Haga clic en Crear.

gcloud

Cuando creas una autorización de DNS, el comando de la CLI de gcloud muestra el registro CNAME correspondiente. Para agregar el registro CNAME a tu configuración de DNS en la zona del DNS del dominio de destino, sigue estos pasos:

  1. Inicia la transacción del registro DNS:

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

  2. Agrega el registro CNAME a la zona del DNS de destino:

    gcloud dns record-sets transaction add CNAME_RECORD \
    --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \
    --ttl="30" \
    --type="CNAME" \
    --zone="DNS_ZONE_NAME"

    Reemplaza lo siguiente:

    • CNAME_RECORD: Es el valor de datos completo del registro CNAME que muestra el comando de Google Cloud CLI que creó la autorización de DNS correspondiente.
    • VALIDATION_SUBDOMAIN_NAME: Es el subdominio de prefijo de la zona de DNS, como _acme-challenge. Puedes copiar el nombre del registro de comandos gcloud certificate-manager dns-authorizations describe, como se describe en Crea una autorización de DNS.
    • DOMAIN_NAME: Es el nombre del dominio de destino.El nombre de dominio debe ser un nombre de dominio completamente calificado, como myorg.example.com. También debes incluir el punto final después del nombre de dominio de destino.
    • DNS_ZONE_NAME: Es el nombre de la zona de DNS de destino.

    Consulta el siguiente ejemplo:

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
    --name="_acme-challenge.myorg.example.com." \
    --ttl="30" \
    --type="CNAME" \
    --zone="myorg-example-com"

  3. Ejecuta la transacción del registro DNS para guardar los cambios:

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    Reemplaza DNS_ZONE_NAME por el nombre de la zona de DNS de destino.

Terraform

Para agregar el registro CNAME a tu configuración de DNS, puedes usar un recurso google_dns_record_set.

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

Actualiza una autorización de DNS

Cuando actualizas una autorización de DNS, puedes hacer lo siguiente:

  • Especifica etiquetas nuevas
  • Especifica una descripción nueva

gcloud

Para actualizar una autorización de DNS, usa el comando certificate-manager dns-authorizations update:

gcloud certificate-manager dns-authorizations update AUTHORIZATION_NAME \
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"] \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • LABELS: Etiquetas para esta autorización de DNS. Esta marca es opcional.
  • DESCRIPTION: Es la descripción de esta autorización de DNS. Esta marca es opcional.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.

API

Para actualizar una autorización de DNS, realiza una solicitud PATCH al método dnsAuthorizations.patch de la siguiente manera:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/dnsAuthorizations/AUTHORIZATION_NAME?updateMask=labels,description"
{
    description: "DESCRIPTION",
    labels: { "LABEL_KEY": "LABEL_VALUE" }
}

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • DESCRIPTION: Es un campo opcional que especifica la descripción de esta autorización de DNS.
  • LABEL_KEY: Es una clave de etiqueta aplicada a esta autorización de DNS.
  • LABEL_VALUE: Es un valor de etiqueta aplicado a esta autorización de DNS.

Enumera las autorizaciones de DNS

Puedes ver todas las autorizaciones de DNS de tu proyecto y sus detalles.

gcloud

Para enumerar las autorizaciones de DNS, usa el comando certificate-manager dns-authorizations list:

gcloud certificate-manager dns-authorizations list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Dominio: --filter='domain=myorg.example.com'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para obtener más ejemplos de filtrado que puedes usar con el Administrador de certificados, consulta Cómo ordenar y filtrar los resultados de la lista en la documentación de Cloud Key Management Service.

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • LIMIT: Es la cantidad máxima de resultados que se mostrarán.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.

API

Para enumerar todas las autorizaciones de DNS configuradas, realiza una solicitud GET al método dnsAuthorizations.list de la siguiente manera:

GET /v1/projects/PROJECT_ID/locations/LOCATION/dnsAuthorizations?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.

  • FILTER: Es una expresión que restringe los resultados que se muestran a valores específicos.

    Por ejemplo, puedes filtrar los resultados según los siguientes criterios:

    • Dominio: --filter='domain=myorg.example.com'
    • Etiquetas y hora de creación: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

  • PAGE_SIZE: Es la cantidad de resultados que se mostrarán por página.

  • SORT_BY: Es una lista delimitada por comas de campos name por los que se ordenan los resultados que se muestran. El orden de clasificación predeterminado es ascendente. Para el orden de clasificación descendente, agrega una virgulilla (~) antes del campo.

Borra una autorización de DNS

Para borrar una autorización de DNS asignada a certificados administrados por Google, borra los certificados antes de borrar la autorización de DNS.

gcloud

Para borrar una autorización de DNS, usa el comando certificate-manager dns-authorizations delete:

gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME \
    [--location="LOCATION"]

Reemplaza lo siguiente:

  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.

API

Para borrar una autorización de DNS, realiza una solicitud DELETE al método dnsAuthorizations.delete de la siguiente manera:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION>/dnsAuthorizations/AUTHORIZATION_NAME

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto de Google Cloud.
  • LOCATION: La Google Cloud ubicaciónLOCATION de destino. La ubicación predeterminada es global.
  • AUTHORIZATION_NAME: Es el nombre de la autorización de DNS.

¿Qué sigue?