このページでは、Google マネージド証明書に対するドメインの承認の仕組みについて説明します。ロードバランサの承認と DNS 認証を比較し、Certificate Manager が各メソッドを使用してドメインの所有権を確認します。
ドメインの承認は、Certificate Authority Service によって発行された Google マネージド証明書には適用されません。このような証明書の詳細については、Certificate Authority Service を使用した Google マネージド証明書のデプロイをご覧ください。
Certificate Manager では、次のいずれかの方法で Google マネージド証明書を発行するドメインの所有権を確認できます。
- ロードバランサの承認は迅速に構成できますが、ワイルドカード証明書はサポートしていません。また、ロードバランサが完全に設定され、ネットワーク トラフィックを処理した後にのみ、証明書をプロビジョニングできます。
- DNS 認証では、ドメイン所有権の証明用に追加の DNS レコードを構成する必要がありますが、ターゲット プロキシがネットワーク トラフィックを処理する準備が整う前に、事前に証明書をプロビジョニングできます。これにより、サードパーティ ソリューションから Google Cloud にゼロ ダウンタイムで移行できます。
ロードバランサの承認
Google マネージド証明書を発行する最も簡単な方法は、ロードバランサの承認です。この方法では、DNS 構成の変更を最小限に抑え、すべての構成手順が完了した後にのみ TLS(SSL)証明書をプロビジョニングします。そのため、この方法は、設定が完了するまで本番環境トラフィックが流れない環境をゼロから設定する場合に最適です。
ロードバランサの承認を使用して Google マネージド証明書を作成するには、デプロイが次の要件を満たしている必要があります。
- ターゲット ドメインにサービスを提供するすべての IP アドレスからポート 443 で Google マネージド証明書にアクセスできる必要があります。そうしないと、プロビジョニングは失敗します。たとえば、IPv4 と IPv6 に別々のロードバランサがある場合は、同じ Google マネージド証明書をそれぞれに割り当てる必要があります。
- DNS 構成で、ロードバランサの IP アドレスを明示的に指定する必要があります。CDN などの中間レイヤは、予期しない動作を引き起こす可能性があります。
- ターゲット ドメインは、インターネットからオープンに解決できる必要があります。スプリット ホライズンや DNS のファイアウォール環境では、証明書のプロビジョニングが妨げられることがあります。
DNS 認証
別のベンダーから Google Cloud への移行を開始する前になど、本番環境を完全に設定する前に Google マネージド証明書を使用できるようにするには、DNS 承認をプロビジョニングします。このシナリオでは、Certificate Manager が DNS ベースの検証を使用します。各 DNS 承認には、設定する必要がある DNS レコードに関する情報が保存され、単一のドメインとそのワイルドカード(myorg.example.com や *.myorg.example.com など)に対応しています。
Google マネージド証明書を作成するときに、その証明書のプロビジョニングと更新に使用する DNS 承認を 1 つ以上指定できます。1 つのドメインで複数の証明書を使用している場合は、それぞれの証明書で同じ DNS 認証を指定できます。DNS 認証は、証明書で指定されたすべてのドメインを対象にする必要があります。そうでない場合、証明書の作成と更新は失敗します。
プロジェクトごとの DNS 認証(プレビュー)を使用して、プロジェクトごとに証明書を個別に管理できます。つまり、Certificate Manager は Google Cloud 内でプロジェクトごとに証明書を発行、管理できます。プロジェクト内で使用する DNS 認証と証明書は自己完結型であり、他のプロジェクトのものとは相互作用しません。
DNS 認証を設定するには、ターゲット ドメインの下にネストされている検証サブドメインの CNAME レコードを DNS 構成に追加する必要があります。この CNAME レコードは、Certificate Manager がドメインの所有権の確認に使用する特別な Google Cloud ドメインを指します。Certificate Manager は、ターゲット ドメインの DNS 認証を作成するときに、CNAME レコードを返します。
また CNAME レコードは、ターゲットの Google Cloud プロジェクト内でそのドメインの証明書のプロビジョニングと更新を行う権限を Certificate Manager に付与します。これらの権限を取り消すには、DNS 構成から CNAME レコードを削除します。
プロジェクトごとに DNS 認証を有効にするには、DNS 認証プロセス中に PER_PROJECT_RECORD を選択します。選択すると、サブドメインとターゲットの両方を含み、特定のプロジェクトに合わせて調整された一意の CNAME レコードを受け取ります。
関連するドメインの DNS ゾーンに CNAME レコードを追加します。
次のステップ
- DNS 認証を使用して Google マネージド証明書をデプロイする(チュートリアル)
- ロードバランサの承認で Google マネージド証明書をデプロイする(チュートリアル)
- CA Service で Google マネージド証明書をデプロイする(チュートリアル)
- セルフマネージド証明書をデプロイする(チュートリアル)
- 証明書を Certificate Manager に移行する
- 証明書を管理する
- 証明書マップを管理する
- 証明書マップエントリを管理する
- DNS 認証を管理する
- 証明書発行の構成を管理する