En esta página, se describe cómo funciona la autorización de dominio con certificados administrados por Google. Compara la autorización del balanceador de cargas con la autorización de DNS y explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.
La autorización del dominio no se aplica a los certificados administrados por Google que emite Certificate Authority Service. Para obtener más información sobre esos certificados, consulta Implementa un certificado administrado por Google con Certificate Authority Service.
El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:
- La autorización del balanceador de cargas es más rápida de configurar, pero no admite certificados comodín. Además, solo puede aprovisionar certificados después de que el balanceador de cargas se haya configurado por completo y esté entregando tráfico de red.
- La autorización de DNS requiere que configures registros DNS dedicados adicionales para demostrar la propiedad del dominio, pero puedes aprovisionar certificados con anticipación, antes de que el proxy de destino esté listo para entregar el tráfico de red. Esto te permite realizar una migración sin tiempo de inactividad desde una solución de terceros a Google Cloud.
Autorización del balanceador de cargas
La forma más sencilla de emitir un certificado administrado por Google es con la autorización del balanceador de cargas. Este método minimiza los cambios en la configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) después de completar todos los pasos de configuración. Por lo tanto, este método funciona mejor para configurar un entorno desde cero sin tráfico de producción hasta que se complete la configuración.
Para crear certificados administrados por Google con autorización del balanceador de cargas, la implementación debe cumplir con los siguientes requisitos:
- Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las direcciones IP que entregan el dominio de destino; de lo contrario, el aprovisionamiento fallará. Por ejemplo, si tienes balanceadores de cargas diferentes para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno de ellos.
- Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en tu configuración de DNS. Las capas intermedias, como la CDN, pueden causar un comportamiento impredecible.
- El dominio de destino debe poder resolverse de forma abierta en Internet. Los entornos de firewall de horizonte dividido o de DNS pueden interferir en el aprovisionamiento de certificados.
Autorización de DNS
Si deseas que los certificados administrados por Google estén listos para usarse antes de que el entorno de producción esté configurado por completo, como antes de comenzar una migración desde otro proveedor a Google Cloud, puedes aprovisionarlos con autorizaciones de DNS. En esta situación, el Administrador de certificados usa la validación basada en DNS. Cada autorización de DNS almacena información sobre el registro DNS que debes configurar y abarca un solo dominio y su comodín, por ejemplo, myorg.example.com y *.myorg.example.com.
Cuando creas un certificado administrado por Google, puedes especificar una o más autorizaciones de DNS para usar en el aprovisionamiento y la renovación de ese certificado. Si usas varios certificados para un solo dominio, puedes especificar la misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS deben abarcar todos los dominios especificados en el certificado; de lo contrario, la creación y las renovaciones de certificados fallarán.
Puedes administrar los certificados de cada proyecto por separado con la autorización de DNS por proyecto (vista previa). Esto significa que el Administrador de certificados puede emitir y administrar certificados para cada proyecto de forma independiente dentro de Google Cloud. Las autorizaciones y certificados de DNS que usas dentro de un proyecto son independientes y no interactúan con los de otros proyectos.
Para configurar una autorización de DNS, debes agregar a tu configuración de DNS un registro CNAME para un subdominio de validación anidado en tu dominio de destino.
Este registro CNAME apunta a un dominio especial de Google Cloud que el Administrador de certificados usa para verificar la propiedad del dominio.
El Administrador de certificados muestra el registro CNAME cuando creas una autorización de DNS para el dominio de destino.
El registro CNAME también otorga al Administrador de certificados los permisos para aprovisionar y renovar certificados para ese dominio dentro del proyecto de Google Cloud de destino. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.
Para habilitar la autorización de DNS por proyecto, selecciona el PER_PROJECT_RECORD durante el proceso de creación de autorización de DNS. Después de la selección, recibirás un registro CNAME único que incluye el subdominio y el destino, y que se adapta al proyecto específico.
Agrega el registro CNAME a la zona de DNS del dominio relevante.
¿Qué sigue?
- Implementa un certificado administrado por Google con autorización de DNS (instructivo)
- Implementa un certificado administrado por Google con autorización del balanceador de cargas (instructivo)
- Implementa un certificado administrado por Google con CA Service (instructivo)
- Implementa un certificado autoadministrado (instructivo)
- Migra un certificado al Administrador de certificados
- Administra certificados
- Administrar mapas de certificados
- Administra las entradas del mapa de certificados
- Administra autorizaciones de DNS
- Administra los parámetros de configuración de emisión de certificados