DNS-Autorisierungen verwalten

In diesem Abschnitt wird beschrieben, wie Sie DNS-Autorisierungen zur Verwendung erstellen und verwalten mit von Google verwalteten Zertifikaten.

Weitere Informationen zu DNS-Autorisierungen finden Sie unter Funktionsweise des Zertifikatmanagers

Weitere Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud CLI-Befehlen finden Sie in der Certificate Manager API.

DNS-Autorisierung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine DNS-Autorisierung zu erstellen. Da jedes einzelne Die DNS-Autorisierung gilt nur für einen einzelnen Domainnamen. Sie müssen ein DNS erstellen. Autorisierung für jeden Domainnamen, den Sie mit dem Ziel verwenden möchten, Zertifikat.

Um Zertifikate für mehrere Projekte unabhängig voneinander zu verwalten, können Sie projektbezogene DNS-Autorisierung. Der Zertifikatmanager kann Zertifikate ausstellen und verwalten für jedes Projekt unabhängig in Google Cloud erstellen. DNS-Autorisierungen und Zertifikate, die Sie in einem Projekt verwenden, sind eigenständig und interagieren nicht anderen Projekten zusammenarbeiten.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

 gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
     --domain="DOMAIN_NAME" \
 gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME

Der standardmäßige DNS-Autorisierungstyp für ein globales von Google verwaltetes Zertifikat ist FIXED_RECORD. Um die projektspezifische DNS-Autorisierung zu verwenden, führen Sie den folgenden Befehl aus:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type="PER_PROJECT_RECORD" \
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME

Ersetzen Sie Folgendes:

  • AUTHORIZATION_NAME: Ein eindeutiger Name, der diese DNS-Autorisierung beschreibt.
  • DOMAIN_NAME: der Name der Domain, für die Sie sich befinden die diese DNS-Autorisierung erstellt. Der Domainname muss ein voll qualifizierter Name sein. Domainname, z. B. myorg.example.com.

Dieser Befehl gibt den CNAME-Eintrag zurück, den Sie Ihrem DNS-Eintrag hinzufügen müssen Konfiguration. Beispiel:

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.myorg.example.com.
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform

Zum Erstellen einer DNS-Autorisierung können Sie eine google_certificate_manager_dns_authorization-Ressource verwenden.

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "${local.name}-dnsauth-${random_id.tf_prefix.hex}"
  description = "The default dns auth"
  domain      = local.domain
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie eine DNS-Autorisierung, indem Sie eine POST-Anfrage an dnsAuthorizations.create stellen wie folgt:

POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
  "domain": "DOMAIN_NAME",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
  • AUTHORIZATION_NAME: Ein eindeutiger Name, der diese DNS-Autorisierung beschreibt.
  • DOMAIN_NAME: der Name der Domain, für die Sie sich befinden die diese DNS-Autorisierung erstellt. Der Domainname muss ein voll qualifizierter Name sein. Domainname, z. B. myorg.example.com.

CNAME-Eintrag zu DNS-Konfiguration hinzufügen

Wenn Sie eine DNS-Autorisierung erstellen, gibt Google Cloud den entsprechenden CNAME-Eintrag für die Validierungsunterdomain zurück. Sie müssen diesen CNAME-Eintrag Ihrer DNS-Konfiguration in der DNS-Zone der Zieldomain hinzufügen. Wenn Sie Google Cloud zum Verwalten Ihres DNS verwenden, führen Sie die Schritte in diesem Abschnitt aus. Sehen Sie andernfalls in der Dokumentation Ihres Drittanbieter-DNS nach. Lösung.

Weitere Informationen dazu, wie der Zertifikatmanager CNAME-Eintrag zur Bestätigung der Domaininhaberschaft: siehe Domainautorisierungen für von Google verwaltete Zertifikate

gcloud

  1. Starten Sie die Transaktion des DNS-Eintrags:

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    Ersetzen Sie Folgendes:

    • DNS_ZONE_NAME: der Name der DNS-Zielzone.

  2. Fügen Sie den CNAME-Eintrag zur Ziel-DNS-Zone hinzu:

    gcloud dns record-sets transaction add CNAME_RECORD \
   --name="_acme-challenge.DOMAIN_NAME." \
   --ttl="30" \
   --type="CNAME" \
   --zone="DNS_ZONE_NAME"

    Ersetzen Sie Folgendes:

    • CNAME_RECORD: der vollständige Wert des CNAME-Eintrags Der Befehl gcloud, mit dem das entsprechende DNS erstellt wurde, wird zurückgegeben. Autorisierung.
    • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com. Sie müssen auch den Punkt nach den Namen der Zieldomain.
    • DNS_ZONE_NAME: der Name der Ziel-DNS-Zone.

  3. Führen Sie die Transaktion des DNS-Eintrags aus, um die Änderungen zu speichern:

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    Ersetzen Sie Folgendes:

    • DNS_ZONE_NAME: der Name der Ziel-DNS-Zone.

Terraform

Sie können eine google_dns_record_set-Ressource verwenden, um den CNAME-Eintrag Ihrer DNS-Konfiguration hinzuzufügen.

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

Weitere Informationen zu DNS-Einträgen finden Sie unter Einträge verwalten.

DNS-Autorisierung aktualisieren

Führen Sie die Schritte in diesem Abschnitt aus, um eine DNS-Autorisierung zu aktualisieren. Sie können So aktualisieren Sie eine DNS-Autorisierung:

  • Neue Labels angeben
  • Neue Beschreibung angeben

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

 gcloud certificate-manager dns-authorizations update AUTHORIZATION_NAME \
     --update-labels="LABELS" \
     --description="DESCRIPTION"

Ersetzen Sie Folgendes:

  • AUTHORIZATION_NAME: der Name der Ziel-DNS-Autorisierung.
  • LABELS: ein optionales Flag, das die Labels für diese DNS-Autorisierung angibt.
  • DESCRIPTION: ein optionales Flag, das die Beschreibung für diese DNS-Autorisierung angibt.

API

Aktualisieren Sie eine DNS-Autorisierung, indem Sie eine PATCH-Anfrage an die dnsAuthorizations.patch-Methode stellen. Gehen Sie dazu so vor:

PATCH /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME?updateMask=labels,description"
{
    description: "DESCRIPTION",
    labels: { "LABEL_KEY": "LABEL_VALUE" }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • AUTHORIZATION_NAME: der Name der Ziel-DNS-Autorisierung.
  • DESCRIPTION: ein optionales Feld, das die Beschreibung für diese DNS-Autorisierung.
  • LABEL_KEY: Labelschlüssel, der auf diese DNS-Autorisierung angewendet wird.
  • LABEL_VALUE: Ein Labelwert, der auf diese DNS-Autorisierung angewendet wird.

DNS-Autorisierungen auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die konfigurierten DNS-Autorisierungen aufzulisten.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager dns-authorizations list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien:

    • Domain: --filter='domain=myorg.example.com'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit dem Zertifikatsmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: eine durch Kommas getrennte Liste von name-Feldern nach nach dem die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie absteigend sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

API

Sie können alle konfigurierten DNS-Autorisierungen auflisten, indem Sie eine GET-Anfrage an die dnsAuthorizations.list-Methode senden. Gehen Sie dazu so vor:

GET /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.
  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.
  • SORT_BY: Eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

DNS-Autorisierung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine DNS-Autorisierung zu löschen. Wenn Sie eine DNS-Autorisierung löschen möchten, die einem oder mehreren von Google verwalteten Zertifikaten zugewiesen ist, müssen Sie diese Zertifikate löschen, bevor Sie die DNS-Autorisierung löschen können.

Für diese Aufgabe benötigen Sie die Rolle „Inhaber des Zertifikatsmanagers“ für das Ziel-Google Cloud-Projekt. Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME

Ersetzen Sie Folgendes:

  • AUTHORIZATION_NAME: der Name des Ziel-DNS Autorisierung.

API

Löschen Sie eine DNS-Autorisierung, indem Sie eine DELETE-Anfrage an den dnsAuthorizations.delete-Methode so:

DELETE /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
  • AUTHORIZATION_NAME: der Name des Ziel-DNS Autorisierung.

Nächste Schritte