此页面介绍了由 Google 管理的网域授权如何运作 证书。该文档将负载均衡器授权与 DNS 授权进行了比较,并说明了 Certificate Manager 如何使用每种方法验证域名所有权。
网域授权不适用于颁发的 Google 管理的证书 由 Certificate Authority Service 提供。如需详细了解此类证书,请参阅 使用 Certificate Authority Service 部署 Google 管理的证书。
借助 Certificate Manager,您可以通过以下任一方式证明您要为哪些网域颁发 Google 管理的证书:
- 负载均衡器授权的配置速度更快,但不支持通配符证书。此外,只有在负载均衡器已完全设置并正在处理网络流量后,它才能预配证书。
- DNS 授权要求您配置额外的专用 DNS 以证明网域所有权,但可以在 Google Cloud 控制台中 。这个 让您可以从第三方解决方案执行零停机迁移 Google Cloud
负载均衡器授权
颁发 Google 代管证书的最简单方法是使用负载均衡器授权。此方法可最大限度地减少对 DNS 配置的更改, 在完成所有配置步骤后预配 TLS (SSL) 证书 已完成。因此,此方法最适合从 在设置完成之前,不会产生任何生产流量。
如需创建具有负载均衡器授权的 Google 代管证书,您的部署必须满足以下要求:
- 必须可以通过端口 443 从所有 IP 访问 Google 管理的证书 服务于目标网域的地址;否则预配将失败例如,如果您为 IPv4 和 IPv6 分别配置了负载均衡器,则必须为这两个负载均衡器分配相同的 Google 管理的证书。
- 您必须明确指定负载平衡器的 IP 地址, DNS 配置。中间层(例如 CDN)可能会导致不可预测的行为。
- 目标网域必须可从互联网公开解析。水平分割 或 DNS 防火墙环境可能会干扰证书预配。
DNS 授权
如果您希望 Google 管理的证书在生产环境完全设置完毕之前就能够使用(例如,在开始从其他供应商迁移到 Google Cloud 之前),可以使用 DNS 授权为其预配。在这种情况下,证书管理器使用
基于 DNS 的验证。每项 DNS 授权都会存储您需要设置的 DNS 记录的相关信息,并涵盖单个网域及其通配符(例如 myorg.example.com 和 *.myorg.example.com)。
创建 Google 管理的证书时,您可以指定一个或多个 DNS 用于配置和续订该证书的授权。如果您 针对单个网域使用多个证书,您可以指定 每个证书拥有相同的 DNS 授权。您的 DNS 授权 必须涵盖证书中指定的所有网域;否则,证书 无法创建和续订。
您可以使用每个项目的 DNS 单独管理每个项目的证书 授权。这意味着 Certificate Manager 可以为每个证书管理器颁发和管理证书 独立项目。DNS 授权 您在项目中使用的证书是独立的,不会相互交互 与其他项目中的成员共享功能
设置 DNS 授权时,您需要为CNAME
将验证子网域嵌套在您的目标网域下,并添加到您的 DNS 配置中。
此 CNAME 记录指向一个特殊的 Google Cloud 网域,
证书管理器用于验证网域所有权。
创建证书管理器时,证书管理器会返回 CNAME
目标网域的 DNS 授权。
CNAME 记录还会向 Certificate Manager 授予在目标 Google Cloud 项目中为该网域预配和续订证书的权限。如需撤消这些权限,请移除CNAME
记录。
要启用每个项目的 DNS 授权,请选择PER_PROJECT_RECORD
DNS 授权创建过程选择后
包含子网域和目标的 CNAME 记录,这是专为
特定项目。
将 CNAME 记录添加到相关网域的 DNS 区域。
后续步骤
- 使用 DNS 授权部署 Google 管理的证书(教程)
- 部署具有负载均衡器授权的 Google 代管证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的证书(教程)
- 将证书迁移到 Certificate Manager
- 管理证书
- 管理证书映射
- 管理证书映射条目
- 管理 DNS 授权
- 管理证书颁发配置