Esta página descreve como a autorização de domínio funciona com certificados gerenciados pelo Google. Ele compara a autorização do balanceador de carga com a autorização do DNS e explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
A autorização de domínio não se aplica a certificados gerenciados pelo Google emitidos pelo serviço de autoridade certificadora. Para mais informações sobre esses certificados, consulte Implantar um certificado gerenciado pelo Google com o serviço de AC.
O Gerenciador de certificados permite provar a propriedade de domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
- A autorização do balanceador de carga é mais rápida de configurar, mas não oferece suporte a certificados curinga. Ele também só pode provisionar certificados depois que o balanceador de carga for totalmente configurado e estiver exibindo o tráfego de rede.
- A autorização de DNS exige que você configure outros registros DNS dedicados para provar a propriedade do domínio, mas é possível provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para veicular o tráfego de rede. Isso permite que você realize uma migração sem tempo de inatividade de uma solução de terceiros para Google Cloud.
Autorização do balanceador de carga
A maneira mais simples de emitir um certificado gerenciado pelo Google é com a autorização do balanceador de carga. Esse método minimiza as mudanças na configuração do DNS, mas só provisiona o certificado TLS (SSL) depois que todas as etapas de configuração forem concluídas. Portanto, esse método funciona melhor para configurar um ambiente do zero sem tráfego de produção até que a configuração seja concluída.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua implantação precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa ser acessível na porta 443 de todos os endereços IP que atendem o domínio de destino. Caso contrário, o provisionamento falha. Por exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será necessário atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- É necessário especificar explicitamente os endereços IP dos balanceadores de carga na configuração de DNS. Camadas intermediárias, como o CDN, podem causar um comportamento imprevisível.
- O domínio de destino precisa ser resolvido abertamente pela Internet. Ambientes de split horizon ou firewall de DNS podem interferir no provisionamento de certificados.
Autorização de DNS
Com a autorização de DNS, você pode verificar a propriedade do domínio e provisionar certificados gerenciados pelo Google antes mesmo de configurar totalmente o ambiente de produção. Isso é útil principalmente quando você está migrando certificados para Google Cloud.
O Gerenciador de certificados verifica a propriedade do domínio por meio de registros DNS. Cada autorização de DNS armazena informações sobre o registro DNS e abrange um único domínio e o curinga dele (por exemplo, myorg.example.com e *.myorg.example.com).
Ao criar um certificado gerenciado pelo Google, você pode usar uma ou mais autorizações de DNS para provisionamento e renovação de certificados. Se você tiver vários certificados para um único domínio, poderá usar a mesma autorização DNS para todos eles. No entanto, suas autorizações de DNS precisam abranger todos os domínios listados no certificado. Caso contrário, a criação e a renovação de certificados vão falhar.
Para configurar a autorização DNS, adicione um registro CNAME à configuração de DNS. Esse registro é usado para validar o subdomínio no seu domínio de destino. O registro CNAME aponta para um domínio Google Cloud especial que o Gerenciador de certificados usa para verificar a propriedade do domínio. Quando você cria uma autorização de DNS, o Certificate Manager retorna esse registro CNAME e verifica sua propriedade.
O registro CNAME também concede ao Gerenciador de certificados permissão para provisionar e renovar certificados para o domínio de destino no projeto Google Cloud . Para revogar essas permissões, remova o registro CNAME da configuração de DNS.
Autorização de DNS por projeto
A autorização de DNS por projeto permite gerenciar certificados de forma independente em cada Google Cloud projeto. Com a autorização de DNS por projeto, o Certificate Manager pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados de DNS usados em um projeto são independentes e não interagem com artefatos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD ao criar uma autorização de DNS. Você vai receber um registro CNAME exclusivo que inclui um subdomínio e um destino específico para esse projeto. Esse registro CNAME precisa ser adicionado à zona DNS do domínio relevante.
A seguir
- Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
- Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
- Implantar um certificado gerenciado pelo Google com o serviço de AC (tutorial)
- Implantar um certificado autogerenciado (tutorial)
- Migrar um certificado para o Gerenciador de certificados
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados