本页面介绍了如何将网域授权与 Google 管理的证书搭配使用。其中比较了负载均衡器授权与 DNS 授权,并介绍了证书管理器如何使用每种方法验证网域所有权。
网域授权不适用于 Certificate Authority Service 颁发的 Google 管理的证书。如需详细了解此类证书,请参阅使用 Certificate Authority Service 部署 Google 管理的证书。
借助证书管理器,您可以通过以下任一方式证明对要为其颁发 Google 管理的证书的网域的所有权:
- 负载平衡器授权配置速度更快,但不支持通配符证书。只有在已完全设置好负载平衡器并且开始处理网络流量后,它才能预配证书。
- DNS 授权要求您配置额外的专用 DNS 记录以证明网域所有权,但您也可以在目标代理准备好处理网络流量之前提前配置证书。这样,您就可以执行从第三方解决方案到 Google Cloud 的零停机迁移。
负载均衡器授权
如需颁发 Google 管理的证书,最简单的方法是使用负载均衡器授权。此方法可最大限度地减少对 DNS 配置的更改,但仅在完成所有配置步骤后预配 TLS (SSL) 证书。因此,此方法最适合从头开始设置在设置完成之前没有生产流量流动的环境。
如需使用负载均衡器授权创建 Google 管理的证书,您的部署必须满足以下要求:
- 必须可以从提供目标网域的所有 IP 地址通过端口 443 访问 Google 管理的证书,否则预配失败。例如,如果您为 IPv4 和 IPv6 分别提供了单独的负载平衡器,则必须为每个负载平衡器分配同一 Google 管理的证书。
- 您必须在 DNS 配置中明确指定负载平衡器的 IP 地址。中间层(例如 CDN)可能会导致不可预测的行为。
- 目标网域必须可通过互联网公开解析。水平分割或 DNS 防火墙环境可能会干扰证书预配。
DNS 授权
如果您希望在完全设置生产环境之前(例如在开始从其他供应商迁移到 Google Cloud 之前)使用 Google 管理的证书,则可以使用 DNS 授权对其进行预配。在这种情况下,证书管理器使用基于 DNS 的验证。每个 DNS 授权都会存储您需要设置的 DNS 记录的相关信息,并且涵盖单个网域及其通配符(例如 myorg.example.com 和 *.myorg.example.com)。
创建 Google 管理的证书时,您可以指定一个或多个 DNS 授权,以用于预配和续订该证书。如果您要对单个网域使用多个证书,则可以在每个证书中指定相同的 DNS 授权。您的 DNS 授权必须涵盖证书中指定的所有网域;否则,证书创建和续订会失败。
您可以使用每个项目的 DNS 授权(预览版)单独管理每个项目的证书。这意味着 Certificate Manager 可以在 Google Cloud 中独立颁发和管理每个项目的证书。您在项目中使用的 DNS 授权和证书是独立的,不与其他项目中的授权和证书进行交互。
设置 DNS 授权时,您需要将 CNAME 记录添加到 DNS 配置中,以用于嵌套在目标网域下的验证子网域。此 CNAME 记录指向一个特殊的 Google Cloud 网域,Certificate Manager 用于验证网域所有权。当您为目标网域创建 DNS 授权时,证书管理器会返回 CNAME 记录。
CNAME 记录还会向证书管理器授予在目标 Google Cloud 项目中为该网域预配和续订证书的权限。如需撤消这些权限,请从 DNS 配置中移除 CNAME 记录。
如需按项目启用 DNS 授权,请在 DNS 授权创建过程中选择 PER_PROJECT_RECORD。选择后,您会收到一条包含子网域和目标的唯一 CNAME 记录,并且该记录是针对特定项目量身定制的。
将 CNAME 记录添加到相关网域的 DNS 区域。
后续步骤
- 使用 DNS 授权部署 Google 管理的证书(教程)
- 使用负载均衡器授权部署 Google 管理的证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的证书(教程)
- 将证书迁移到证书管理器
- 管理证书
- 管理证书映射
- 管理证书映射条目
- 管理 DNS 授权
- 管理证书颁发配置