Cette page décrit le fonctionnement de l'autorisation de domaine avec les certificats gérés par Google. Elle compare l'autorisation de l'équilibreur de charge à l'autorisation DNS et explique comment le gestionnaire de certificats vérifie la propriété du domaine à l'aide de chaque méthode.
L'autorisation de domaine ne s'applique pas aux certificats gérés par Google et émis par Certificate Authority Service. Pour en savoir plus sur ces certificats, consultez la page Déployer un certificat géré par Google avec Certificate Authority Service.
Le gestionnaire de certificats vous permet de prouver que vous êtes le propriétaire des domaines pour lesquels vous souhaitez émettre des certificats gérés par Google de l'une des manières suivantes:
- L'autorisation pour l'équilibreur de charge est plus rapide à configurer, mais elle n'est pas compatible avec les certificats génériques. De plus, il ne peut provisionner des certificats qu'une fois que l'équilibreur de charge a été entièrement configuré et qu'il diffuse le trafic réseau.
- L'autorisation DNS nécessite la configuration d'enregistrements DNS dédiés supplémentaires pour prouver la propriété du domaine, mais vous pouvez provisionner des certificats à l'avance, avant que le proxy cible ne soit prêt à diffuser le trafic réseau. Vous pouvez ainsi effectuer une migration sans temps d'arrêt d'une solution tierce vers Google Cloud.
Autorisation d'équilibreur de charge
Le moyen le plus simple d'émettre un certificat géré par Google consiste à autoriser l'équilibreur de charge. Cette méthode minimise les modifications de votre configuration DNS, mais ne provisionne le certificat TLS (SSL) qu'une fois toutes les étapes de configuration terminées. Par conséquent, cette méthode fonctionne mieux pour configurer un environnement à partir de zéro, sans trafic de production circulant tant que la configuration n'est pas terminée.
Pour que vous puissiez créer des certificats gérés par Google avec une autorisation pour l'équilibreur de charge, votre déploiement doit répondre aux exigences suivantes:
- Le certificat géré par Google doit être accessible sur le port 443 à partir de toutes les adresses IP desservant le domaine cible. Sinon, le provisionnement échoue. Par exemple, si vous disposez d'équilibreurs de charge distincts pour les adresses IPv4 et IPv6, vous devez leur attribuer le même certificat géré par Google.
- Vous devez spécifier explicitement les adresses IP de vos équilibreurs de charge dans votre configuration DNS. Les couches intermédiaires, telles que CDN, peuvent entraîner un comportement imprévisible.
- Le domaine cible doit pouvoir être facilement résolu à partir d'Internet. Les environnements de pare-feu à double horizon ou DNS peuvent interférer avec le provisionnement des certificats.
Autorisation DNS
Si vous souhaitez que vos certificats gérés par Google soient prêts à être utilisés avant la configuration complète de votre environnement de production, par exemple avant de lancer une migration d'un autre fournisseur vers Google Cloud, vous pouvez les provisionner avec des autorisations DNS. Dans ce scénario, le gestionnaire de certificats utilise la validation basée sur DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS que vous devez configurer et couvre un seul domaine et son caractère générique, par exemple, myorg.example.com et *.myorg.example.com.
Lors de la création d'un certificat géré par Google, vous pouvez spécifier une ou plusieurs autorisations DNS à utiliser pour le provisionnement et le renouvellement de ce certificat. Si vous utilisez plusieurs certificats pour un seul domaine, vous pouvez spécifier la même autorisation DNS dans chacun de ces certificats. Vos autorisations DNS doivent couvrir tous les domaines spécifiés dans le certificat. Sinon, la création et le renouvellement du certificat échouent.
Vous pouvez gérer les certificats pour chaque projet séparément en utilisant l'autorisation DNS par projet (version preview). Cela signifie que le gestionnaire de certificats peut émettre et gérer des certificats pour chaque projet indépendamment dans Google Cloud. Les autorisations et certificats DNS que vous utilisez dans un projet sont autonomes et n'interagissent pas avec ceux d'autres projets.
Pour configurer une autorisation DNS, vous devez ajouter à votre configuration DNS un enregistrement CNAME pour un sous-domaine de validation imbriqué dans votre domaine cible.
Cet enregistrement CNAME pointe vers un domaine Google Cloud spécial que le gestionnaire de certificats utilise pour valider la propriété du domaine.
Le gestionnaire de certificats renvoie l'enregistrement CNAME lorsque vous créez une autorisation DNS pour le domaine cible.
L'enregistrement CNAME accorde également au gestionnaire de certificats les autorisations de provisionnement et de renouvellement des certificats pour ce domaine dans le projet Google Cloud cible. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.
Pour activer l'autorisation DNS par projet, sélectionnez PER_PROJECT_RECORD lors du processus de création de l'autorisation DNS. Après la sélection, vous recevez un enregistrement CNAME unique qui inclut à la fois le sous-domaine et la cible, et qui est personnalisé pour le projet spécifique.
Ajoutez l'enregistrement CNAME à la zone DNS du domaine concerné.
Étapes suivantes
- Déployer un certificat géré par Google avec une autorisation DNS (tutoriel)
- Déployer un certificat géré par Google avec une autorisation d'équilibreur de charge (tutoriel)
- Déployer un certificat géré par Google avec CA Service (tutoriel)
- Déployer un certificat autogéré (tutoriel)
- Migrer un certificat vers le gestionnaire de certificats
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les configurations d'émission de certificats