Autorización de dominio para certificados administrados por Google

En esta página, se describe cómo funciona la autorización de dominios con los certificados administrados por Google. Compara la autorización del balanceador de cargas con la autorización de DNS explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.

La autorización de dominio no se aplica a los certificados administrados por Google que emite Certificate Authority Service. Para obtener más información sobre estos certificados, consulta Implementa un certificado administrado por Google con Certificate Authority Service

El Administrador de certificados te permite demostrar la propiedad de los dominios en los que deseas emitir certificados administrados por Google de una de las siguientes maneras:

  • La autorización del balanceador de cargas es más rápida de configurar, pero no es compatible. certificados comodín. También solo puede aprovisionar certificados después de que el balanceador de cargas se haya configurado por completo y esté entregando tráfico de red.
  • La autorización de DNS requiere que configures DNS dedicado adicional para comprobar la propiedad del dominio, pero pueden aprovisionar certificados en antes de que el proxy de destino esté listo para entregar el tráfico. Esta te permite realizar una migración sin tiempo de inactividad desde una solución de terceros a Google Cloud.

Autorización del balanceador de cargas

La forma más sencilla de emitir un certificado administrado por Google es con la autorización del balanceador de cargas. Este método minimiza los cambios en tu configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) después de que se hayan completado todos los pasos de configuración el proyecto se completó. Por lo tanto, este método funciona mejor para configurar un entorno desde cero sin que fluya tráfico de producción hasta que se complete la configuración.

Para crear certificados administrados por Google con autorización de balanceador de cargas, tu implementación debe cumplir con los siguientes requisitos:

  • Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las direcciones IP que publiquen el dominio de destino. De lo contrario, fallará el aprovisionamiento. Por ejemplo, si tienes balanceadores de cargas independientes para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno de ellos.
  • Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en tus configuración de DNS. Las capas intermedias, como la CDN, pueden causar un comportamiento impredecible.
  • El dominio de destino debe poder resolverse de forma abierta en Internet. Horizonte dividido de firewall o DNS pueden interferir en el aprovisionamiento de certificados.

Autorización de DNS

Si quieres que tus certificados administrados por Google estén listos para usarse antes de que entorno de producción estén completamente configurados, como antes de iniciar una migración otro proveedor a Google Cloud, puedes aprovisionarle autorizaciones. En esta situación, el Administrador de certificados usa Validación basada en DNS. Cada autorización de DNS almacena información sobre el registro que necesitas configurar y abarca un solo dominio más su comodín, para Por ejemplo, myorg.example.com y *.myorg.example.com.

Cuando creas un certificado administrado por Google, puedes especificar uno o más DNS autorizaciones para usar en el aprovisionamiento y la renovación de ese certificado. Si usas varios certificados para un solo dominio, puedes especificar la misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS deben abarcar todos los dominios especificados en el certificado. De lo contrario, fallarán la creación y las renovaciones del certificado.

Puedes administrar los certificados de cada proyecto por separado mediante la autorización de DNS por proyecto. Esto significa que El Administrador de certificados puede emitir y administrar certificados para cada uno de forma independiente dentro de Google Cloud. Las autorizaciones y los certificados de DNS que usas en un proyecto son independientes y no interactúan con los de otros proyectos.

Para configurar una autorización de DNS, debes agregar un registro CNAME para un subdominio de validación anidado en tu dominio de destino para tu configuración de DNS. Este registro CNAME apunta a un dominio especial de Google Cloud que El Administrador de certificados usa para verificar la propiedad del dominio. El Administrador de certificados muestra el registro CNAME cuando creas una autorización de DNS para el dominio de destino.

El registro CNAME también otorga al Administrador de certificados los permisos para el aprovisionamiento y la renovación de certificados de ese dominio dentro del proyecto de Google Cloud de destino. Para revocar estos permisos, quita CNAME. de tu configuración de DNS.

Para habilitar la autorización de DNS por proyecto, selecciona PER_PROJECT_RECORD durante el proceso de creación de autorización de DNS. Una vez que lo hagas, recibirás un registro CNAME único que incluye el subdominio y el objetivo, y que está personalizado para el proyecto específico.

Agrega el registro CNAME a la zona de DNS del dominio relevante.

¿Qué sigue?