Esta página descreve como a autorização de domínios funciona com certificados. Ele compara a autorização do balanceador de carga com a autorização DNS explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
A autorização do domínio não se aplica aos certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Como implantar um certificado gerenciado pelo Google com o Certificate Authority Service (em inglês).
O Gerenciador de certificados permite que você prove a propriedade de domínios para os quais Você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
- A autorização do balanceador de carga é mais rápida de configurar, mas não oferece suporte certificados com caracteres curinga. Ele também só pode provisionar certificados após o carregamento balanceador de carga foi totalmente configurado e está atendendo ao tráfego de rede.
- A autorização de DNS exige que você configure um DNS dedicado adicional registros para comprovação de propriedade do domínio, mas pode aprovisionar certificados em antes que o proxy de destino esteja pronto para atender ao tráfego de rede. Isso permite a execução de uma migração sem inatividade de uma solução de terceiros para o Google Cloud.
Autorização do balanceador de carga
A maneira mais simples de emitir um certificado gerenciado pelo Google é com o balanceador de carga autorização. Esse método minimiza as alterações na configuração do DNS, mas apenas provisiona o certificado TLS (SSL) depois que todas as etapas de configuração forem concluídas concluído. Portanto, este método funciona melhor para configurar um ambiente a partir sem fluxo de tráfego de produção até que a configuração seja concluída.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa estar acessível na porta 443 de todos os endereços que atendem ao domínio de destino. caso contrário, o provisionamento falha. Para exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será preciso atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- É preciso especificar explicitamente os endereços IP dos balanceadores de carga na configuração do DNS. As camadas intermediárias, como CDN, podem causar do seu modelo.
- O domínio de destino precisa ser resolvido abertamente na Internet. Linha do horizonte ou firewall de DNS podem interferir no provisionamento de certificados.
Autorização de DNS
Se você quiser que os certificados gerenciados pelo Google estejam prontos para uso antes da
ambiente de produção está totalmente configurado, como antes de iniciar uma migração do
outro fornecedor para o Google Cloud, é possível provisioná-los com DNS
de autorização. Nesse cenário, o Gerenciador de certificados usa
Validação baseada em DNS. Cada autorização de DNS armazena informações sobre
que você precisa configurar e abrange um único domínio mais seu caractere curinga, por
exemplo, myorg.example.com
e *.myorg.example.com
.
Ao criar um certificado gerenciado pelo Google, é possível especificar um ou mais autorizações para provisionamento e renovação desse certificado. Se você usam vários certificados para um único domínio, é possível especificar o mesma autorização de DNS em cada um desses certificados. Suas autorizações de DNS precisa abranger todos os domínios especificados no certificado; caso contrário, o certificado falha na criação e renovações.
É possível gerenciar os certificados de cada projeto separadamente usando o DNS por projeto. autorização (Pré-lançamento). Isso significa que O Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. Autorizações de DNS e os certificados usados em um projeto são autônomos e não interagem com aqueles em outros projetos.
A configuração de uma autorização de DNS exige que você adicione um registro CNAME
para um
subdomínio de validação aninhado no domínio de destino para sua configuração de DNS.
Esse registro CNAME
aponta para um domínio especial do Google Cloud que
O Gerenciador de certificados usa para verificar a propriedade do domínio.
O Gerenciador de certificados retorna o registro CNAME
quando você cria uma
Autorização de DNS para o domínio de destino.
O registro CNAME
também concede ao Gerenciador de certificados o
permissões para provisionamento e renovação de certificados para o domínio em questão
no projeto de destino do Google Cloud. Para revogar essas permissões, remova CNAME
da sua configuração do DNS.
Para ativar a autorização de DNS por projeto, selecione o PER_PROJECT_RECORD
durante
o processo de criação da autorização de DNS. Após a seleção, você recebe um
registro CNAME
que inclui subdomínio e destino e é personalizado para
o projeto específico.
Adicione o registro CNAME
à zona de DNS do domínio relevante.
A seguir
- Como implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
- Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
- Como implantar um certificado gerenciado pelo Google com o CA Service (tutorial)
- Implantar um certificado autogerenciado (tutorial)
- Migrar um certificado para o Gerenciador de certificados
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados