Esta página descreve como funciona a autorização de domínio com certificados geridos pela Google. A página compara a autorização do equilibrador de carga com a autorização de DNS e explica como o Gestor de certificados valida a propriedade do domínio através de cada método.
O Gestor de certificados permite-lhe comprovar a propriedade dos domínios para os quais quer emitir certificados geridos pela Google de uma das seguintes formas:
Autorização do balanceador de carga: implemente o certificado diretamente num balanceador de carga suportado sem criar um registo DNS. Este método é mais rápido de configurar, mas não suporta certificados com carateres universais nem certificados regionais. Além disso, o Certificate Manager só pode aprovisionar certificados depois de o equilibrador de carga estar totalmente configurado e a servir tráfego de rede.
Autorização de DNS: implemente o certificado diretamente num equilibrador de carga suportado após criar registos de DNS dedicados para validação da propriedade do domínio. Com este método, o Gestor de certificados pode aprovisionar certificados antecipadamente, antes de o proxy de destino estar pronto para publicar tráfego de rede.
A autorização de domínio não se aplica a certificados geridos pela Google emitidos pelo Certificate Authority Service. Para mais informações sobre estes certificados, consulte o artigo Implemente um certificado gerido pela Google global com o serviço de autoridade de certificação.
Autorização do balanceador de carga
A autorização do equilibrador de carga é o método mais simples para emitir um certificado gerido pela Google. Este método minimiza as alterações à configuração de DNS, mas apenas aprovisiona o certificado TLS (SSL) após a conclusão da configuração do equilibrador de carga. Este método também torna a autorização do equilibrador de carga ideal para novos ambientes sem tráfego de produção existente.
Para criar certificados geridos pela Google com autorização do equilibrador de carga, a sua implementação tem de cumprir os seguintes requisitos:
- O certificado gerido pela Google tem de estar acessível na porta 443 a partir de todos os endereços IP que publicam o domínio de destino; caso contrário, o aprovisionamento falha. Por exemplo, se tiver equilibradores de carga separados para IPv4 e IPv6, tem de atribuir o mesmo certificado gerido pela Google a cada um deles.
- Tem de especificar explicitamente os endereços IP dos seus equilibradores de carga na configuração de DNS, o que evita falhas na validação de domínio com várias perspetivas. As camadas intermédias, como a CDN, podem causar um comportamento imprevisível.
- O domínio de destino tem de ser resolvível abertamente a partir da Internet. Os ambientes de firewall DNS ou de horizonte dividido podem interferir com o aprovisionamento de certificados.
Autorização de DNS
A autorização de DNS permite-lhe validar a propriedade do domínio e aprovisionar certificados geridos pela Google, mesmo antes de o ambiente de produção estar totalmente configurado. Esta opção é particularmente útil quando está a migrar certificados para o Google Cloud.
O Gestor de certificados valida a propriedade do domínio através de registos de DNS. Cada autorização de DNS armazena informações sobre um registo de DNS e abrange um único domínio e o respetivo caráter universal (por exemplo, myorg.example.com e *.myorg.example.com). Um caráter universal abrange apenas o primeiro nível de subdomínio e não abrange níveis de subdomínio mais profundos. Por exemplo, *.myorg.example.com não abrange
sub.subdomain.myorg.example.com.
Quando cria um certificado gerido pela Google, pode usar uma ou mais autorizações de DNS para aprovisionar e renovar certificados. Se tiver vários certificados para um único domínio, pode usar a mesma autorização de DNS para todos os certificados. No entanto, as suas autorizações de DNS têm de abranger todos os domínios indicados no certificado. Caso contrário, a criação e a renovação de certificados falham.
Para configurar a autorização de DNS, tem de adicionar um registo CNAME à configuração de DNS. Pode usar este registo para validar o subdomínio no seu domínio de destino. O registo CNAME aponta para um domínio Google Cloud especial
que o Gestor de certificados usa para validar a propriedade do seu domínio.
Quando cria uma autorização de DNS, o Gestor de certificados devolve este registo CNAME e valida a sua propriedade.
Lembre-se de que o registo CNAME também concede ao Gestor de certificados a autorização para aprovisionar e renovar certificados para o domínio de destino no seu projetoGoogle Cloud . Para revogar estas autorizações, remova o registo CNAME
da configuração do DNS.
Autorização de DNS por projeto
A autorização de DNS por projeto permite-lhe gerir certificados de forma independente em cada Google Cloud projeto. Com a autorização de DNS por projeto, o Gestor de Certificados pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados DNS usados num projeto são autónomos e não interagem com artefactos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD
quando criar uma autorização de DNS. Em seguida, recebe um registo CNAME
único que inclui um subdomínio e um destino específico desse projeto.
Deve adicionar este registo CNAME à zona de DNS do domínio relevante.
Compare a autorização do balanceador de carga com a autorização de DNS
O Gestor de certificados permite-lhe comprovar a propriedade dos domínios para os quais quer emitir certificados geridos pela Google, conforme descrito na tabela seguinte.
| Autorização do balanceador de carga | Autorização de DNS | |
|---|---|---|
| Complexidade da configuração | A autorização do equilibrador de carga não requer passos de configuração adicionais nem alterações à configuração de DNS. | Requer que crie uma autorização de DNS e adicione o respetivo registo CNAME à configuração de DNS. |
| Segurança de rede | O balanceador de carga tem de estar totalmente acessível a partir da Internet na porta 443, incluindo a configuração de DNS para todos os domínios publicados pelo certificado. A autorização do equilibrador de carga não funciona com outras configurações. | Funciona com configurações altamente complexas, como portas diferentes de 443 e camadas de RFC à frente do proxy de destino. |
| Velocidade de aprovisionamento | Só pode aprovisionar certificados depois de o equilibrador de carga estar totalmente configurado e a servir tráfego de rede. | Pode aprovisionar certificados antecipadamente, antes de o proxy de destino estar pronto para publicar tráfego de rede. |
| Certificados com carateres universais | Não suportado | Suportado |
O que se segue?
- Faça a gestão das autorizações de DNS
- Implemente um certificado global gerido pela Google com autorização do equilibrador de carga
- Implemente um certificado global gerido pela Google com autorização de DNS