Autorização de domínio para certificados gerenciados pelo Google

Esta página descreve como a autorização de domínio funciona com certificados. Ele compara a autorização do balanceador de carga com a autorização DNS explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.

A autorização do domínio não se aplica aos certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Implantar um certificado gerenciado pelo Google com o serviço de AC.

O Gerenciador de certificados permite que você prove a propriedade de domínios para os quais Você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:

  • A autorização do balanceador de carga é mais rápida de configurar, mas não oferece suporte certificados com caracteres curinga. Ele também só pode provisionar certificados depois que o balanceador de carga for totalmente configurado e estiver exibindo o tráfego de rede.
  • A autorização de DNS exige que você configure um DNS dedicado adicional registros para comprovação de propriedade do domínio, mas pode aprovisionar certificados em antes que o proxy de destino esteja pronto para atender ao tráfego de rede. Isso permite que você realize uma migração sem tempo de inatividade de uma solução de terceiros para o Google Cloud.

Autorização do balanceador de carga

A maneira mais simples de emitir um certificado gerenciado pelo Google é com a autorização do balanceador de carga. Esse método minimiza as mudanças na configuração do DNS, mas só provisiona o certificado TLS (SSL) depois que todas as etapas de configuração forem concluídas. Portanto, esse método funciona melhor para configurar um ambiente do zero sem tráfego de produção até que a configuração seja concluída.

Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua precisa atender aos seguintes requisitos:

  • O certificado gerenciado pelo Google precisa estar acessível na porta 443 de todos os endereços que atendem ao domínio de destino. caso contrário, o provisionamento falhará. Para exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será preciso atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
  • É necessário especificar explicitamente os endereços IP dos balanceadores de carga na configuração de DNS. As camadas intermediárias, como CDN, podem causar do seu modelo.
  • O domínio de destino precisa ser resolvido abertamente na Internet. Linha do horizonte ou firewall de DNS podem interferir no provisionamento de certificados.

Autorização de DNS

Se você quiser que os certificados gerenciados pelo Google estejam prontos para uso antes que o ambiente de produção esteja totalmente configurado, por exemplo, antes de iniciar uma migração de outro fornecedor para o Google Cloud, provisione-os com autorizações de DNS. Nesse cenário, o Gerenciador de certificados usa Validação baseada em DNS. Cada autorização de DNS armazena informações sobre o que precisa ser configurado e abrange um único domínio mais seu caractere curinga, por exemplo, myorg.example.com e *.myorg.example.com.

Ao criar um certificado gerenciado pelo Google, é possível especificar uma ou mais autorizações de DNS para usar na provisionamento e renovação desse certificado. Se você estiver usando vários certificados para um único domínio, poderá especificar a mesma autorização DNS em cada um desses certificados. Suas autorizações de DNS precisa abranger todos os domínios especificados no certificado; caso contrário, o certificado na criação e nas renovações.

É possível gerenciar os certificados de cada projeto separadamente usando o DNS por projeto. autorização. Isso significa que O Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. Autorizações de DNS e os certificados usados em um projeto são autônomos e não interagem com aqueles em outros projetos.

Para configurar uma autorização de DNS, é necessário adicionar um registro CNAME para um subdomínio de validação aninhado no domínio de destino à configuração do DNS. Esse registro CNAME aponta para um domínio especial do Google Cloud que o Gerenciador de certificados usa para verificar a propriedade do domínio. O Gerenciador de certificados retorna o registro CNAME quando você cria uma Autorização de DNS para o domínio de destino.

O registro CNAME também concede ao Certificate Manager as permissões de provisionamento e renovação de certificados para esse domínio no projeto do Google Cloud de destino. Para revogar essas permissões, remova o registro CNAME da configuração de DNS.

Para ativar a autorização de DNS por projeto, selecione o PER_PROJECT_RECORD durante o processo de criação da autorização de DNS. Após a seleção, você recebe um registro CNAME exclusivo que inclui o subdomínio e o destino e é personalizado para o projeto específico.

Adicione o registro CNAME à zona de DNS do domínio relevante.

A seguir