En esta página, se describe cómo funciona la autorización de dominios con los certificados administrados por Google. Compara la autorización del balanceador de cargas con la autorización de DNS y explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.
La autorización de dominio no se aplica a los certificados administrados por Google que emite Certificate Authority Service. Para obtener más información sobre estos certificados, consulta Cómo implementar un certificado administrado por Google con Certificate Authority Service.
El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:
- La autorización del balanceador de cargas es más rápida de configurar, pero no admite certificados comodín. También solo puede aprovisionar certificados después de que el balanceador de cargas se haya configurado por completo y esté entregando tráfico de red.
- La autorización de DNS requiere que configures registros DNS dedicados adicionales para demostrar la propiedad del dominio, pero puede aprovisionar certificados con anticipación, antes de que el proxy de destino esté listo para entregar tráfico de red. Esto te permite realizar una migración sin tiempo de inactividad desde una solución de terceros a Google Cloud.
Autorización del balanceador de cargas
La forma más sencilla de emitir un certificado administrado por Google es con la autorización del balanceador de cargas. Este método minimiza los cambios en la configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) después de completar todos los pasos de configuración. Por lo tanto, este método funciona mejor para configurar un entorno desde cero sin que fluya tráfico de producción hasta que se complete la configuración.
Para crear certificados administrados por Google con autorización de balanceador de cargas, tu implementación debe cumplir con los siguientes requisitos:
- Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las direcciones IP que publiquen el dominio de destino. De lo contrario, fallará el aprovisionamiento. Por ejemplo, si tienes balanceadores de cargas independientes para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno de ellos.
- Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en la configuración de DNS. Las capas intermedias, como la CDN, pueden causar un comportamiento impredecible.
- El dominio de destino debe poder resolverse de forma abierta desde Internet. Los entornos de horizonte dividido o firewall de DNS pueden interferir en el aprovisionamiento de certificados.
Autorización de DNS
La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados administrados por Google incluso antes de que tu entorno de producción esté completamente configurado. Esto es particularmente útil cuando migras certificados a Google Cloud.
El Administrador de certificados verifica la propiedad del dominio a través de los registros DNS. Cada autorización de DNS almacena información sobre el registro DNS y abarca un solo dominio y su comodín (por ejemplo, myorg.example.com y *.myorg.example.com).
Cuando creas un certificado administrado por Google, puedes usar una o más autorizaciones de DNS para el aprovisionamiento y la renovación de certificados. Si tienes varios certificados para un solo dominio, puedes usar la misma autorización de DNS para todos ellos. Sin embargo, tus autorizaciones de DNS deben abarcar todos los dominios que aparecen en el certificado. De lo contrario, no se podrán crear ni renovar los certificados.
Para configurar la autorización de DNS, debes agregar un registro CNAME a tu configuración de DNS. Este registro se usa para validar el subdominio en tu dominio de destino. El registro CNAME apunta a un dominio Google Cloud especial que el Administrador de certificados usa para verificar la propiedad de tu dominio. Cuando creas una autorización de DNS, el Administrador de certificados muestra este registro CNAME y verifica tu propiedad.
Recuerda que el registro CNAME también le otorga permiso al Administrador de certificados para aprovisionar y renovar certificados para el dominio de destino dentro de tu Google Cloud proyecto. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.
Autorización de DNS por proyecto
La autorización de DNS por proyecto te permite administrar certificados de forma independiente en cada Google Cloud proyecto. Con la autorización de DNS por proyecto, el Administrador de certificados puede emitir y administrar certificados para cada proyecto por separado. Las autorizaciones y los certificados de DNS que se usan en un proyecto son independientes y no interactúan con artefactos de otros proyectos.
Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD cuando crees una autorización de DNS. Luego, recibirás un registro CNAME único que incluye un subdominio y un objetivo específico para ese proyecto. Este registro CNAME se debe agregar a la zona del DNS del dominio relevante.
¿Qué sigue?
- Implementa un certificado administrado por Google con autorización de DNS (instructivo)
- Implementa un certificado administrado por Google con autorización de balanceador de cargas (instructivo)
- Implementa un certificado administrado por Google con el Servicio de AC (instructivo)
- Implementa un certificado autoadministrado (instructivo)
- Cómo migrar un certificado al Administrador de certificados
- Administrar certificados
- Administra mapas de certificados
- Administrar entradas de mapas de certificados
- Administra las autorizaciones de DNS
- Administra la configuración de emisión de certificados