In questa pagina viene descritto come funziona l'autorizzazione del dominio con gli account gestiti da Google certificati. Confronta l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS spiega in che modo Gestore certificati verifica la proprietà del dominio utilizzando ciascun metodo.
L'autorizzazione per il dominio non si applica ai certificati gestiti da Google emessi da Certificate Authority Service. Per ulteriori informazioni su questi certificati, vedi Deployment di un certificato gestito da Google con Certificate Authority Service.
Gestore certificati consente di dimostrare la proprietà dei domini per cui è opportuno emettere certificati gestiti da Google in uno dei seguenti modi:
- L'autorizzazione del bilanciatore del carico è più veloce da configurare, ma non supporta con caratteri jolly. Inoltre, può eseguire il provisioning dei certificati solo dopo il caricamento. il bilanciatore del carico è stato completamente configurato e gestisce il traffico di rete.
- L'autorizzazione DNS richiede la configurazione di altre impostazioni DNS dedicate record per provare la proprietà del dominio, ma è in grado di eseguire il provisioning dei certificati prima che il proxy di destinazione sia pronto a gestire il traffico di rete. Questo consente di eseguire una migrazione senza tempi di inattività da una soluzione di terze parti a Google Cloud.
Autorizzazione bilanciatore del carico
Il modo più semplice per emettere un certificato gestito da Google è con il bilanciatore del carico autorizzazione. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma esegue il provisioning del certificato TLS (SSL) dopo che sono stati completati tutti i passaggi di configurazione completata. Di conseguenza, questo metodo è la scelta migliore per configurare un ambiente da zero senza che il traffico di produzione passi fino al completamento della configurazione.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il tuo il deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP gli indirizzi che servono il dominio di destinazione; altrimenti il provisioning non va a buon fine. Per Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi e assegnare a ciascuno lo stesso certificato gestito da Google.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico Configurazione DNS. I livelli intermedi, come CDN, possono causare livelli comportamento degli utenti.
- Il dominio di destinazione deve essere apertamente risolvibile da Internet. Orizzonte diviso o gli ambienti firewall DNS possono interferire con il provisioning dei certificati.
Autorizzazione DNS
Se vuoi che i tuoi certificati gestiti da Google siano pronti per l'uso prima del
dell'ambiente di produzione sia completamente configurato, ad esempio prima di avviare una migrazione
a un altro fornitore per Google Cloud, puoi eseguirne il provisioning
autorizzazioni. In questo scenario, Gestore certificati utilizza
Convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul DNS
che devi configurare e che copre un singolo dominio più il relativo carattere jolly, ad esempio
ad esempio myorg.example.com
e *.myorg.example.com
.
Quando crei un certificato gestito da Google, puoi specificare uno o più DNS autorizzazioni da utilizzare per il provisioning e il rinnovo del certificato. Se utilizzano più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ognuno di questi certificati. Le tue autorizzazioni DNS Deve coprire tutti i domini specificati nel certificato. altrimenti, il certificato la creazione e i rinnovi non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando il DNS per progetto autorizzazione (anteprima). Ciò significa che Gestore certificati può emettere e gestire certificati per ogni dei progetti in modo indipendente all'interno di Google Cloud. autorizzazioni DNS e che i certificati che utilizzi all'interno di un progetto sono autonomi e non interagiscono con quelli di altri progetti.
Per configurare un'autorizzazione DNS è necessario aggiungere un record CNAME
per un
di convalida nidificato sotto il dominio di destinazione alla configurazione DNS.
Questo record CNAME
rimanda a un dominio Google Cloud speciale che
Utilizza Gestione certificati per verificare la proprietà del dominio.
Gestore certificati restituisce il record CNAME
quando crei un
Autorizzazione DNS per il dominio di destinazione.
Il record CNAME
concede inoltre al Gestore certificati la
le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno di
del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi CNAME
dalla configurazione DNS.
Per abilitare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD
durante
il processo di creazione dell'autorizzazione DNS. Al momento della selezione, ricevi un ID
CNAME
record che include sia il sottodominio sia il target e che è personalizzato per
per il progetto specifico.
Aggiungi il record CNAME
alla zona DNS del dominio pertinente.
Passaggi successivi
- Esegui il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Esegui il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico (tutorial)
- Esegui il deployment di un certificato gestito da Google con CA Service (tutorial)
- Esegui il deployment di un certificato autogestito (tutorial)
- Eseguire la migrazione di un certificato a Gestore certificati
- Gestire i certificati
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci le autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati