Auf dieser Seite wird beschrieben, wie die Domainautorisierung mit von Google verwalteten Zertifikaten funktioniert. Es vergleicht die Load-Balancer-Autorisierung mit der DNS-Autorisierung wird erläutert, wie der Zertifikatmanager die Domaininhaberschaft mithilfe für die einzelnen Methoden.
Die Domainautorisierung gilt nicht für von Google verwaltete Zertifikate, die ausgestellt wurden durch Certificate Authority Service. Weitere Informationen zu solchen Zertifikaten finden Sie unter Von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen
Mit dem Zertifikatmanager können Sie die Inhaberschaft von Domains nachweisen, für die Sie von Google verwaltete Zertifikate auf eine der folgenden Arten ausstellen möchten:
- Die Load Balancer-Autorisierung lässt sich schneller konfigurieren, unterstützt aber keine Platzhalterzertifikate. Außerdem können Zertifikate erst bereitgestellt werden, nachdem der Load Balancer vollständig eingerichtet und für den Netzwerkverkehr verfügbar ist.
- Für die DNS-Autorisierung müssen Sie zusätzliche spezielle DNS-Einträge zum Nachweis der Domaininhaberschaft konfigurieren. Sie können Zertifikate jedoch im Voraus bereitstellen, bevor der Zielproxy für den Netzwerkverkehr bereit ist. So können Sie eine Migration ohne Ausfallzeit von einer Drittanbieterlösung zu Google Cloud durchführen.
Load-Balancer-Autorisierung
Die einfachste Möglichkeit, ein von Google verwaltetes Zertifikat auszustellen, ist die Load Balancer-Autorisierung. Bei dieser Methode werden Änderungen an Ihrer DNS-Konfiguration minimiert. Das TLS-Zertifikat (SSL) wird jedoch erst bereitgestellt, nachdem alle Konfigurationsschritte abgeschlossen sind. Daher eignet sich diese Methode am besten für die Einrichtung einer Umgebung von Grund auf, bis die Einrichtung abgeschlossen ist, ohne dass Produktionstraffic fließt.
Damit Sie von Google verwaltete Zertifikate mit Load Balancer-Autorisierung erstellen können, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:
- Auf das von Google verwaltete Zertifikat muss von allen IP-Adressen, die die Zieldomain bereitstellen, über Port 443 zugegriffen werden können. Andernfalls schlägt die Bereitstellung fehl. Wenn Sie beispielsweise separate Load Balancer für IPv4 und IPv6 haben, müssen Sie jedem von ihnen dasselbe von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen der Load-Balancer explizit in Ihrem DNS-Konfiguration. Zwischenschichten wie CDN können unvorhersehbare verhalten.
- Die Zieldomain muss öffentlich aus dem Internet aufgelöst werden können. Split-Horizon- oder DNS-Firewall-Umgebungen können die Bereitstellung von Zertifikaten beeinträchtigen.
DNS-Autorisierung
Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Wenn Sie mehrere Zertifikate für eine Domain verwenden, können Sie die in jedem dieser Zertifikate dieselbe DNS-Autorisierung. Ihre DNS-Autorisierungen Sie müssen alle im Zertifikat angegebenen Domains abdecken. Andernfalls Zertifikat Fehler bei der Erstellung und Verlängerungen.
Sie können Zertifikate für jedes Projekt separat verwalten, indem Sie das projektspezifische DNS verwenden Autorisierung. Das bedeutet, dass Der Zertifikatmanager kann Zertifikate für jedes unabhängig in Google Cloud. DNS-Autorisierungen und ‑Zertifikate, die Sie in einem Projekt verwenden, sind unabhängig und interagieren nicht mit denen in anderen Projekten.
Zum Einrichten einer DNS-Autorisierung müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag für eine Validierungssubdomain hinzufügen, die unter Ihrer Zieldomain verschachtelt ist.
Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird.
Der Zertifikatmanager gibt den Eintrag CNAME zurück, wenn Sie einen
DNS-Autorisierung für die Zieldomain.
Der Eintrag CNAME gewährt dem Zertifikatmanager außerdem die folgenden Berechtigungen:
Berechtigungen zur Bereitstellung und Verlängerung von Zertifikaten für diese Domain innerhalb
das Google Cloud-Zielprojekt. Wenn Sie diese Berechtigungen widerrufen möchten, entfernen Sie die CNAME
aus Ihrer DNS-Konfiguration.
Zum Aktivieren der projektspezifischen DNS-Autorisierung wählen Sie währendPER_PROJECT_RECORD
beim Erstellen der DNS-Autorisierung. Bei Auswahl erhalten Sie eine eindeutige
CNAME-Eintrag, der sowohl die Subdomain als auch das Ziel enthält und auf
für das jeweilige Projekt.
Fügen Sie den CNAME-Eintrag der DNS-Zone der entsprechenden Domain hinzu.
Nächste Schritte
- Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit Load Balancer-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit CA Service bereitstellen (Anleitung)
- Selbstverwaltetes Zertifikat bereitstellen (Anleitung)
- Zertifikat in den Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatausstellung verwalten