Questa pagina descrive come funziona l'autorizzazione del dominio con i certificati gestiti da Google. Confronta l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS e spiega come Gestore certificati verifica la proprietà del dominio utilizzando ciascun metodo.
L'autorizzazione per il dominio non si applica ai certificati gestiti da Google emessi da Certificate Authority Service. Per ulteriori informazioni su questi certificati, consulta Deployment di un certificato gestito da Google con Certificate Authority Service.
Gestore certificati consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
- L'autorizzazione del bilanciatore del carico è più veloce da configurare, ma non supporta i certificati con caratteri jolly. Può inoltre eseguire il provisioning dei certificati solo dopo che il bilanciatore del carico è stato completamente configurato e gestisce il traffico di rete.
- L'autorizzazione DNS richiede la configurazione di record DNS dedicati aggiuntivi per la prova della proprietà del dominio, ma è possibile eseguire il provisioning dei certificati in anticipo, prima che il proxy di destinazione sia pronto a gestire il traffico di rete. Ciò consente di eseguire una migrazione senza tempi di inattività da una soluzione di terze parti a Google Cloud.
Autorizzazione bilanciatore del carico
Il modo più semplice per emettere un certificato gestito da Google è l'autorizzazione del bilanciatore del carico. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma esegue il provisioning del certificato TLS (SSL) solo dopo aver completato tutti i passaggi di configurazione. Di conseguenza, questo metodo è la scelta migliore per configurare un ambiente da scraping, senza flusso di traffico di produzione fino al completamento della configurazione.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP che gestiscono il dominio di destinazione, altrimenti il provisioning non va a buon fine. Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi assegnare a ciascuno lo stesso certificato gestito da Google.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico nella configurazione DNS. I livelli intermedi, come CDN, possono causare comportamenti imprevedibili.
- Il dominio di destinazione deve essere apertamente risolvibile da Internet. Gli ambienti con orizzonte diviso o firewall DNS possono interferire con il provisioning dei certificati.
Autorizzazione DNS
Se vuoi che i certificati gestiti da Google siano pronti per l'uso prima che il tuo ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione da un altro fornitore a Google Cloud, puoi eseguirne il provisioning con autorizzazioni DNS. In questo scenario, Gestore certificati usa
la convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul record DNS che devi configurare e copre un singolo dominio più il relativo carattere jolly, ad esempio myorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare una o più autorizzazioni DNS da utilizzare per il provisioning e il rinnovo di quel certificato. Se utilizzi più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ciascuno di questi certificati. Le autorizzazioni DNS devono coprire tutti i domini specificati nel certificato; in caso contrario, la creazione e i rinnovi del certificato non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando l'autorizzazione DNS per progetto (anteprima). Ciò significa che Certificate Manager può emettere e gestire certificati per ogni progetto in modo indipendente all'interno di Google Cloud. Le autorizzazioni e i certificati DNS che utilizzi in un progetto sono autonomi e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS, devi aggiungere alla configurazione DNS un record CNAME per un sottodominio di convalida nidificato al di sotto del tuo dominio di destinazione.
Questo record CNAME rimanda a un dominio speciale Google Cloud che Certificate Manager utilizza per verificare la proprietà del dominio.
Gestore certificati restituisce il record CNAME quando crei un'autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre a Gestore certificati le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi il record CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante il processo di creazione dell'autorizzazione DNS. Dopo la selezione, ricevi un record CNAME univoco che include sia il sottodominio sia la destinazione, personalizzato per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Passaggi successivi
- Esegui il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Esegui il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico (tutorial)
- Esegui il deployment di un certificato gestito da Google con CA Service (tutorial)
- Esegui il deployment di un certificato autogestito (tutorial)
- Eseguire la migrazione di un certificato a Gestore certificati
- Gestire i certificati
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati