Nesta página, descrevemos como a autorização de domínio funciona com certificados gerenciados pelo Google. Ele compara a autorização do balanceador de carga com a autorização DNS e explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
A autorização do domínio não se aplica aos certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Como implantar um certificado gerenciado pelo Google com o Certificate Authority Service.
O Gerenciador de certificados permite comprovar a propriedade de domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
- A autorização do balanceador de carga é mais rápida de configurar, mas não é compatível com certificados curinga. Também é possível provisionar certificados somente depois que o balanceador de carga estiver totalmente configurado e atender ao tráfego de rede.
- A autorização de DNS exige que você configure outros registros DNS dedicados para comprovar a propriedade do domínio. No entanto, é possível provisionar certificados com antecedência antes que o proxy de destino esteja pronto para atender ao tráfego de rede. Isso permite que você realize uma migração sem inatividade de uma solução de terceiros para o Google Cloud.
Autorização do balanceador de carga
A maneira mais simples de emitir um certificado gerenciado pelo Google é com a autorização do balanceador de carga. Esse método minimiza as alterações na configuração de DNS, mas só provisiona o certificado TLS (SSL) depois que todas as etapas de configuração forem concluídas. Portanto, esse método funciona melhor para configurar um ambiente do zero sem tráfego de produção fluindo até que a configuração seja concluída.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua implantação precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa estar acessível na porta 443 de todos os endereços IP que atendem ao domínio de destino. Caso contrário, o provisionamento falhará. Por exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será necessário atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- Especifique explicitamente os endereços IP dos balanceadores de carga na configuração do DNS. As camadas intermediárias, como CDN, podem causar um comportamento imprevisível.
- O domínio de destino precisa ser resolvido abertamente na Internet. Os ambientes de firewall split-horizon ou DNS podem interferir no provisionamento de certificados.
Autorização de DNS
Se você quiser que seus certificados gerenciados pelo Google estejam prontos para uso antes que o
ambiente de produção esteja totalmente configurado, como antes de iniciar uma migração de
outro fornecedor para o Google Cloud, é possível provisioná-los com autorizações
de DNS. Neste cenário, o Gerenciador de certificados usa
a validação baseada em DNS. Cada autorização de DNS armazena informações sobre o registro
DNS que você precisa configurar e abrange um único domínio e o respectivo caractere curinga, por
exemplo, myorg.example.com e *.myorg.example.com.
Ao criar um certificado gerenciado pelo Google, é possível especificar uma ou mais autorizações de DNS a serem usadas para provisionamento e renovação desse certificado. Se você estiver usando vários certificados para um único domínio, poderá especificar a mesma autorização de DNS em cada um deles. Suas autorizações de DNS precisam abranger todos os domínios especificados no certificado. Caso contrário, a criação e as renovações do certificado falharão.
É possível gerenciar os certificados de cada projeto separadamente usando a autorização de DNS por projeto (Pré-lançamento). Isso significa que o Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. As autorizações e os certificados de DNS que você usa em um projeto são autônomos e não interagem com outros em outros projetos.
Para configurar uma autorização de DNS, é preciso adicionar à configuração de DNS um registro CNAME para um subdomínio de validação aninhado no domínio de destino.
Esse registro CNAME aponta para um domínio especial do Google Cloud que o Gerenciador de certificados usa para verificar a propriedade do domínio.
O Gerenciador de certificados retorna o registro CNAME quando você cria uma autorização de DNS para o domínio de destino.
O registro CNAME também concede ao Gerenciador de certificados as permissões para provisionamento e renovação de certificados para esse domínio no projeto de destino do Google Cloud. Para revogar essas permissões, remova o registro CNAME da sua configuração de DNS.
Para ativar a autorização de DNS por projeto, selecione PER_PROJECT_RECORD durante
o processo de criação da autorização de DNS. Após a seleção, você recebe um registro CNAME exclusivo que inclui subdomínio e destino e é personalizado para o projeto específico.
Adicione o registro CNAME à zona de DNS do domínio relevante.
A seguir
- Como implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
- Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
- Como implantar um certificado gerenciado pelo Google com o CA Service (tutorial)
- Implantar um certificado autogerenciado (tutorial)
- Migrar um certificado para o Gerenciador de certificados
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados