In questa pagina viene descritto come funziona l'autorizzazione del dominio con gli account gestiti da Google certificati. Confronta l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS spiega in che modo Gestore certificati verifica la proprietà del dominio utilizzando ciascun metodo.
L'autorizzazione del dominio non si applica ai certificati gestiti da Google emessi dal Servizio autorità di certificazione. Per ulteriori informazioni su questi certificati, consulta Eseguire il deployment di un certificato gestito da Google con il servizio Certificate Authority.
Gestore certificati consente di dimostrare la proprietà dei domini per cui è opportuno emettere certificati gestiti da Google in uno dei seguenti modi:
- L'autorizzazione del bilanciatore del carico è più rapida da configurare, ma non supporta i certificati con caratteri jolly. Inoltre, può eseguire il provisioning dei certificati solo dopo il caricamento. il bilanciatore del carico è stato completamente configurato e gestisce il traffico di rete.
- L'autorizzazione DNS richiede la configurazione di altre impostazioni DNS dedicate record per provare la proprietà del dominio, ma è in grado di eseguire il provisioning dei certificati prima che il proxy di destinazione sia pronto a gestire il traffico di rete. Questo consente di eseguire una migrazione senza tempi di inattività da una soluzione di terze parti a Google Cloud.
Autorizzazione bilanciatore del carico
Il modo più semplice per emettere un certificato gestito da Google è con il bilanciatore del carico autorizzazione. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma fornisce il certificato TLS (SSL) solo dopo aver completato tutti i passaggi di configurazione. Pertanto, questo metodo è ideale per configurare un ambiente da zero senza alcun traffico di produzione fino al completamento della configurazione.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il tuo deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP che pubblicano il dominio di destinazione. In caso contrario, il provisioning non va a buon fine. Per Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi e assegnare a ciascuno lo stesso certificato gestito da Google.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico Configurazione DNS. I livelli intermedi, come CDN, possono causare livelli comportamento degli utenti.
- Il dominio di destinazione deve essere apertamente risolvibile da Internet. Gli ambienti con firewall DNS o con suddivisione orizzontale possono interferire con il provisioning dei certificati.
Autorizzazione DNS
Se vuoi che i tuoi certificati gestiti da Google siano pronti per l'uso prima del
dell'ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione
a un altro fornitore per Google Cloud, puoi eseguirne il provisioning
autorizzazioni. In questo scenario, Gestore certificati utilizza
Convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul DNS
che devi configurare e che copre un singolo dominio più il relativo carattere jolly, ad esempio
ad esempio myorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare uno o più DNS autorizzazioni da utilizzare per il provisioning e il rinnovo del certificato. Se utilizzi più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ciascuno di questi certificati. Le tue autorizzazioni DNS Deve coprire tutti i domini specificati nel certificato. altrimenti, il certificato la creazione e i rinnovi non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando l'autorizzazione DNS per progetto. Ciò significa che Certificate Manager può emettere e gestire i certificati per ogni progetto in modo indipendente all'interno di Google Cloud. Le autorizzazioni e i certificati DNS che utilizzi all'interno di un progetto sono autocontenuti e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS, devi aggiungere un record CNAME per un sottodominio di convalida nidificato nel dominio di destinazione alla configurazione DNS.
Questo record CNAME rimanda a un dominio Google Cloud speciale che
Utilizza Gestione certificati per verificare la proprietà del dominio.
Certificate Manager restituisce il record CNAME quando crei un'autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre al Gestore certificati la
le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno di
del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante
il processo di creazione dell'autorizzazione DNS. Al momento della selezione, ricevi un record CNAME univoco che include sia il sottodominio sia il target ed è personalizzato per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Passaggi successivi
- Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Eseguire il deployment di un certificato gestito da Google con autorizzazione del bilanciatore del carico (tutorial)
- Eseguire il deployment di un certificato gestito da Google con il servizio CA (tutorial)
- Esegui il deployment di un certificato autogestito (tutorial)
- Eseguire la migrazione di un certificato a Gestore certificati
- Gestire i certificati
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci le autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati