Cette page décrit le fonctionnement de l'autorisation de domaine avec certificats. Il compare l'autorisation de l'équilibreur de charge à l'autorisation DNS et explique comment le gestionnaire de certificats vérifie la propriété du domaine à l’aide de chaque méthode.
L'autorisation de domaine ne s'applique pas aux certificats gérés par Google émis par Certificate Authority Service. Pour en savoir plus sur ces certificats, consultez Déployer un certificat géré par Google avec Certificate Authority Service
Le gestionnaire de certificats vous permet de prouver que vous êtes le propriétaire des domaines pour lesquels vous souhaitez délivrer des certificats gérés par Google de l'une des manières suivantes:
- L'autorisation d'équilibreur de charge est plus rapide à configurer, mais n'est pas compatible avec ou des certificats génériques. De plus, il ne peut provisionner des certificats qu'après la a été entièrement configuré et diffuse le trafic réseau.
- L'autorisation DNS nécessite la configuration d'un DNS dédié supplémentaire pour prouver que le domaine vous appartient, mais il peut fournir des certificats avant que le proxy cible ne soit prêt à diffuser le trafic réseau. Ce permet d'effectuer une migration sans temps d'arrêt à partir d'une solution tierce à Google Cloud.
Autorisation d'équilibreur de charge
Le moyen le plus simple d'émettre un certificat géré par Google est d'utiliser un équilibreur de charge une autorisation. Cette méthode minimise les modifications de votre configuration DNS, mais provisionne le certificat TLS (SSL) une fois que toutes les étapes de configuration ont été terminé. Par conséquent, cette méthode convient mieux à la configuration d'un environnement aucun trafic de production n'est acheminé tant que la configuration n'est pas terminée.
Pour créer des certificats gérés par Google avec une autorisation d'équilibreur de charge, déploiement doivent répondre aux exigences suivantes:
- Le certificat géré par Google doit être accessible sur le port 443 depuis toutes les adresses IP des adresses IP desservant le domaine cible ; sinon le provisionnement échouera. Pour Par exemple, si vous disposez d'équilibreurs de charge distincts pour IPv4 et IPv6, attribuer le même certificat géré par Google à chacun d'entre eux.
- Vous devez spécifier explicitement les adresses IP de vos équilibreurs de charge dans votre configuration DNS. Les couches intermédiaires, comme CDN, peuvent donner lieu à des comportemental.
- Le domaine cible doit pouvoir être résolu publiquement sur Internet. Horizon fractionné les environnements de pare-feu DNS ou DNS peuvent interférer avec le provisionnement des certificats.
Autorisation DNS
Si vous souhaitez que vos certificats gérés par Google soient prêts à être utilisés avant la configuration complète de votre environnement de production, par exemple avant de lancer une migration d'un autre fournisseur vers Google Cloud, vous pouvez les provisionner avec des autorisations DNS. Dans ce scénario, le gestionnaire de certificats utilise la validation basée sur DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS que vous devez configurer et couvre un seul domaine et son caractère générique, par exemple, myorg.example.com et *.myorg.example.com.
Lors de la création d'un certificat géré par Google, vous pouvez spécifier une ou plusieurs autorisations DNS à utiliser pour le provisionnement et le renouvellement de ce certificat. Si vous utilisent plusieurs certificats pour un même domaine, vous pouvez spécifier le la même autorisation DNS dans chacun de ces certificats. Vos autorisations DNS doit couvrir tous les domaines spécifiés dans le certificat ; Sinon, le certificat leur création et leur renouvellement échouent.
Vous pouvez gérer les certificats de chaque projet séparément à l'aide d'un DNS par projet (version preview). Cela signifie que Le gestionnaire de certificats peut émettre et gérer les certificats de façon indépendante dans Google Cloud. les autorisations DNS et les certificats que vous utilisez dans un projet sont autonomes et n'interagissent pas avec ceux d'autres projets.
La configuration d'une autorisation DNS nécessite l'ajout d'un enregistrement CNAME pour un
sous-domaine de validation imbriqué sous votre domaine cible dans votre configuration DNS.
Cet enregistrement CNAME pointe vers un domaine Google Cloud spécial qui
Le gestionnaire de certificats l'utilise pour valider la propriété du domaine.
Le gestionnaire de certificats renvoie l'enregistrement CNAME lorsque vous créez un
Autorisation DNS pour le domaine cible.
L'enregistrement CNAME accorde également au gestionnaire de certificats
des autorisations de provisionnement et de renouvellement des certificats pour ce domaine dans
le projet Google Cloud cible. Pour révoquer ces autorisations, supprimez le CNAME
depuis votre configuration DNS.
Pour activer l'autorisation DNS par projet, sélectionnez le PER_PROJECT_RECORD pendant
le processus de création
d'autorisation DNS. En cas de sélection, vous recevez une
Enregistrement CNAME qui inclut à la fois un sous-domaine et une cible, et adapté à
le projet spécifique.
Ajoutez l'enregistrement CNAME à la zone DNS du domaine concerné.
Étape suivante
- Déployer un certificat géré par Google avec une autorisation DNS (tutoriel)
- Déployer un certificat géré par Google avec une autorisation pour l'équilibrage de charge (tutoriel)
- Déployer un certificat géré par Google avec CA Service (tutoriel)
- Déployer un certificat autogéré (tutoriel)
- Migrer un certificat vers le gestionnaire de certificats
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les configurations d'émission de certificats