Questa sezione descrive come creare e gestire le autorizzazioni DNS da utilizzare con i certificati gestiti da Google.
Per maggiori informazioni sulle autorizzazioni DNS, consulta Come funziona Gestore certificati.
Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.
Per ulteriori informazioni sui comandi dell'interfaccia a riga della gcloud CLI utilizzati in questa pagina, consulta l'API Certificate Manager.
Crea un'autorizzazione DNS
Per creare un'autorizzazione DNS, completa i passaggi descritti in questa sezione. Poiché ogni autorizzazione DNS copre un solo nome di dominio, devi creare un'autorizzazione DNS per ogni nome di dominio che vuoi utilizzare con il certificato di destinazione.
Per gestire i certificati in modo indipendente in più progetti, puoi utilizzare l'autorizzazione DNS per progetto (anteprima). Gestore certificati è in grado di gestire l'emissione e la gestione dei certificati per ogni progetto in modo indipendente all'interno di Google Cloud. Le autorizzazioni e i certificati DNS che utilizzi all'interno di un progetto sono autonomi e non interagiscono con questi utenti in altri progetti.
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, consulta Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
Per utilizzare l'autorizzazione DNS per progetto (anteprima), esegui questo comando:
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD" \ gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
Sostituisci quanto segue:
AUTHORIZATION_NAME
: un nome univoco che descrive questa autorizzazione DNS.DOMAIN_NAME
: il nome del dominio per il quale stai creando questa autorizzazione DNS. Il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com
.
Questo comando restituisce il record CNAME che devi aggiungere alla configurazione DNS. Ad esempio:
createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
name: _acme-challenge.myorg.example.com.
type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
Per creare un'autorizzazione DNS, puoi utilizzare una risorsa google_certificate_manager_dns_authorization
.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
API
Crea un'autorizzazione DNS inviando una richiesta POST
al metodo dnsAuthorizations.create
, come indicato di seguito:
POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME" { "domain": "DOMAIN_NAME", }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.AUTHORIZATION_NAME
: un nome univoco che descrive questa autorizzazione DNS.DOMAIN_NAME
: il nome del dominio per il quale stai creando questa autorizzazione DNS. Il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com
.
Aggiungere il record CNAME alla configurazione DNS
Quando crei un'autorizzazione DNS, Google Cloud restituisce il record CNAME corrispondente per il sottodominio di convalida. Devi aggiungere questo record CNAME alla configurazione DNS nella zona DNS del dominio di destinazione. Se utilizzi Google Cloud per gestire il tuo DNS, completa i passaggi descritti in questa sezione. In caso contrario, consulta la documentazione della tua soluzione DNS di terze parti.
Per ulteriori informazioni su come Gestore certificati utilizza questo record CNAME per verificare la proprietà del dominio, consulta Autorizzazioni di dominio per i certificati gestiti da Google.
gcloud
Avvia la transazione del record DNS:
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
Sostituisci quanto segue:
DNS_ZONE_NAME
: il nome della zona DNS di destinazione.
Aggiungi il record CNAME alla zona DNS di destinazione:
gcloud dns record-sets transaction add CNAME_RECORD \ --name="_acme-challenge.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
Sostituisci quanto segue:
CNAME_RECORD
: il valore completo del record CNAME restituito dal comandogcloud
che ha creato l'autorizzazione DNS corrispondente.DOMAIN_NAME
: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com
. Devi includere anche il punto finale dopo il nome di dominio di destinazione.DNS_ZONE_NAME
: il nome della zona DNS di destinazione.
Esegui la transazione del record DNS per salvare le modifiche:
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
Sostituisci quanto segue:
DNS_ZONE_NAME
: il nome della zona DNS di destinazione.
Terraform
Per aggiungere il record CNAME alla configurazione DNS, puoi utilizzare una risorsa google_dns_record_set
.
Per ulteriori informazioni sui record DNS, consulta Gestione dei record.
Aggiorna un'autorizzazione DNS
Per aggiornare un'autorizzazione DNS, completa i passaggi descritti in questa sezione. Puoi aggiornare un'autorizzazione DNS come segue:
- Specifica nuove etichette
- Specifica una nuova descrizione
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, consulta Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager dns-authorizations update AUTHORIZATION_NAME \ --update-labels="LABELS" \ --description="DESCRIPTION"
Sostituisci quanto segue:
AUTHORIZATION_NAME
: il nome dell'autorizzazione DNS di destinazione.LABELS
: un flag facoltativo che specifica le etichette per questa autorizzazione DNS.DESCRIPTION
: un flag facoltativo che specifica la descrizione di questa autorizzazione DNS.
API
Aggiorna un'autorizzazione DNS inviando una richiesta PATCH
al metodo dnsAuthorizations.patch
, come indicato di seguito:
PATCH /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME?updateMask=labels,description" { description: "DESCRIPTION", labels: { "LABEL_KEY": "LABEL_VALUE" } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.AUTHORIZATION_NAME
: il nome dell'autorizzazione DNS di destinazione.DESCRIPTION
: un campo facoltativo che specifica la descrizione di questa autorizzazione DNS.LABEL_KEY
: una chiave di etichetta applicata a questa autorizzazione DNS.LABEL_VALUE
: un valore di etichetta applicato a questa autorizzazione DNS.
Elenca autorizzazioni DNS
Per elencare le autorizzazioni DNS configurate, completa i passaggi descritti in questa sezione.
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager dns-authorizations list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Sostituisci quanto segue:
FILTER
: un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:- Dominio:
--filter='domain=myorg.example.com'
- Etichette e data di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtro che puoi utilizzare con Certificate Manager, vedi Ordinamento e filtro dei risultati degli elenchi nella documentazione di Cloud Key Management Service.
- Dominio:
PAGE_SIZE
: il numero di risultati da restituire per ogni pagina.LIMIT
: il numero massimo di risultati da restituire.SORT_BY
: un elenco delimitato da virgole di campiname
in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi una tilde (~
) al campo.
API
Elenca tutte le autorizzazioni DNS configurate effettuando una richiesta GET
al metodo dnsAuthorizations.list
come segue:
GET /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.FILTER
: un'espressione che vincola i risultati restituiti a valori specifici.PAGE_SIZE
: il numero di risultati da restituire per ogni pagina.SORT_BY
: un elenco delimitato da virgole di nomi di campi in base ai quali sono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi una tilde (~
) al campo.
Elimina un'autorizzazione DNS
Per eliminare un'autorizzazione DNS, completa i passaggi descritti in questa sezione. Per eliminare un'autorizzazione DNS assegnata a uno o più certificati gestiti da Google, devi eliminarli prima di poter eliminare l'autorizzazione DNS.
Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nel progetto Google Cloud di destinazione. Per ulteriori informazioni, consulta Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
Sostituisci quanto segue:
AUTHORIZATION_NAME
: il nome dell'autorizzazione DNS di destinazione.
API
Elimina un'autorizzazione DNS inviando una richiesta DELETE
al metodo dnsAuthorizations.delete
, come segue:
DELETE /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.AUTHORIZATION_NAME
: il nome dell'autorizzazione DNS di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestisci le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestire le configurazioni di emissione dei certificati