Autorisation de domaine pour les certificats gérés par Google

Cette page décrit le fonctionnement de l'autorisation de domaine avec certificats. Il compare l'autorisation de l'équilibreur de charge à l'autorisation DNS et explique comment le gestionnaire de certificats vérifie la propriété du domaine à l'aide de chacune de ces méthodes.

L'autorisation de domaine ne s'applique pas aux certificats gérés par Google émis par Certificate Authority Service. Pour en savoir plus sur ces certificats, consultez la section Déployer un certificat géré par Google avec Certificate Authority Service.

Le gestionnaire de certificats vous permet de prouver que vous êtes propriétaire des domaines pour lesquels vous souhaitez délivrer des certificats gérés par Google de l'une des manières suivantes :

  • L'autorisation d'équilibreur de charge est plus rapide à configurer, mais n'est pas compatible avec ou des certificats génériques. De plus, il ne peut provisionner des certificats qu'après la est entièrement configuré et diffuse le trafic réseau.
  • L'autorisation DNS nécessite la configuration d'un DNS dédié supplémentaire pour prouver que le domaine vous appartient, mais il peut provisionner des certificats dans avant que le proxy cible ne soit prêt à diffuser le trafic réseau. Ce vous permet d'effectuer une migration sans temps d'arrêt à partir d'une solution tierce à Google Cloud.

Autorisation d'équilibreur de charge

Le moyen le plus simple d'émettre un certificat géré par Google est d'utiliser un équilibreur de charge une autorisation. Cette méthode minimise les modifications apportées à votre configuration DNS, mais ne provisionne le certificat TLS (SSL) qu'après toutes les étapes de configuration. Par conséquent, cette méthode est la plus adaptée pour configurer un environnement à partir de zéro, sans trafic de production jusqu'à la fin de la configuration.

Pour créer des certificats gérés par Google avec une autorisation d'équilibreur de charge, votre déploiement doit répondre aux exigences suivantes :

  • Le certificat géré par Google doit être accessible sur le port 443 depuis toutes les adresses IP des adresses IP desservant le domaine cible ; sinon le provisionnement échouera. Pour Par exemple, si vous disposez d'équilibreurs de charge distincts pour IPv4 et IPv6, attribuer le même certificat géré par Google à chacun d'entre eux.
  • Vous devez spécifier explicitement les adresses IP de vos équilibreurs de charge dans votre configuration DNS. Les couches intermédiaires, telles que les CDN, peuvent entraîner un comportement imprévisible.
  • Le domaine cible doit pouvoir être résolu publiquement sur Internet. Horizon fractionné les environnements de pare-feu DNS ou DNS peuvent interférer avec le provisionnement des certificats.

Autorisation DNS

Si vous souhaitez que vos certificats gérés par Google soient prêts à être utilisés avant la configuration complète de votre environnement de production, par exemple avant de lancer une migration d'un autre fournisseur vers Google Cloud, vous pouvez les provisionner avec des autorisations DNS. Dans ce scénario, le gestionnaire de certificats utilise la validation basée sur DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS que vous devez configurer et couvre un seul domaine et son caractère générique, par exemple, myorg.example.com et *.myorg.example.com.

Lors de la création d'un certificat géré par Google, vous pouvez spécifier une ou plusieurs autorisations DNS à utiliser pour le provisionnement et le renouvellement de ce certificat. Si vous utilisent plusieurs certificats pour un même domaine, vous pouvez spécifier le la même autorisation DNS dans chacun de ces certificats. Vos autorisations DNS doivent couvrir tous les domaines spécifiés dans le certificat. Sans cela, la création et le renouvellement des certificats échouent.

Vous pouvez gérer les certificats de chaque projet séparément à l'aide d'une autorisation DNS par projet. Cela signifie que le Gestionnaire de certificats peut émettre et gérer des certificats pour chaque projet indépendamment dans Google Cloud. les autorisations DNS et les certificats que vous utilisez dans un projet sont autonomes et n'interagissent pas avec ceux d'autres projets.

La configuration d'une autorisation DNS nécessite l'ajout à votre configuration DNS d'un enregistrement CNAME pour un sous-domaine de validation imbriqué sous votre domaine cible. Cet enregistrement CNAME pointe vers un domaine Google Cloud spécial qui Le gestionnaire de certificats l'utilise pour valider la propriété du domaine. Le Gestionnaire de certificats renvoie l'enregistrement CNAME lorsque vous créez une autorisation DNS pour le domaine cible.

L'enregistrement CNAME accorde également au Gestionnaire de certificats les autorisations de provisionnement et de renouvellement des certificats pour ce domaine dans le projet Google Cloud cible. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.

Pour activer l'autorisation DNS par projet, sélectionnez le PER_PROJECT_RECORD pendant le processus de création d'autorisation DNS. Une fois l'enregistrement sélectionné, vous recevez un enregistrement CNAME unique qui inclut à la fois le sous-domaine et la cible, et qui est adapté au projet spécifique.

Ajoutez l'enregistrement CNAME à la zone DNS du domaine concerné.

Étape suivante