Auf dieser Seite wird beschrieben, wie die Domainautorisierung bei von Google verwalteten Zertifikate. Es vergleicht die Load-Balancer-Autorisierung mit der DNS-Autorisierung wird erläutert, wie der Zertifikatmanager die Domaininhaberschaft mithilfe für die einzelnen Methoden.
Die Domainautorisierung gilt nicht für von Google verwaltete Zertifikate, die ausgestellt wurden durch Certificate Authority Service. Weitere Informationen zu solchen Zertifikaten finden Sie unter Von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen
Mit dem Zertifikatmanager können Sie die Inhaberschaft von Domains nachweisen, für die Sie von Google verwaltete Zertifikate auf eine der folgenden Arten ausstellen möchten:
- Die Load-Balancer-Autorisierung ist schneller zu konfigurieren, wird aber nicht unterstützt Platzhalterzertifikaten. Außerdem können Zertifikate erst nach dem Laden bereitgestellt werden. Der Balancer wurde vollständig eingerichtet und verarbeitet den Netzwerkverkehr.
- Für die DNS-Autorisierung müssen Sie ein zusätzliches dediziertes DNS konfigurieren Einträge als Nachweis der Domaininhaberschaft, können jedoch Zertifikate in bevor der Ziel-Proxy zur Bereitstellung des Netzwerkverkehrs bereit ist. Dieses ermöglicht eine Migration ohne Ausfallzeiten von einer Drittanbieterlösung zu Google Cloud.
Load-Balancer-Autorisierung
Der einfachste Weg, ein von Google verwaltetes Zertifikat auszustellen, ist der Load Balancer. Autorisierung. Bei dieser Methode werden Änderungen an der DNS-Konfiguration minimiert, stellt das TLS/SSL-Zertifikat bereit, nachdem alle Konfigurationsschritte abgeschlossen sind. abgeschlossen. Daher eignet sich diese Methode am besten zum Einrichten einer Umgebung aus bis die Einrichtung abgeschlossen ist, ohne Produktionstraffic fließen zu müssen.
Zum Erstellen von von Google verwalteten Zertifikaten mit Load-Balancer-Autorisierung muss Ihr muss die folgenden Anforderungen erfüllen:
- Das von Google verwaltete Zertifikat muss von allen IP-Adressen über Port 443 zugänglich sein. Adressen für die Zieldomain; Andernfalls schlägt die Bereitstellung fehl. Für Wenn Sie beispielsweise separate Load-Balancer für IPv4 und IPv6 haben, jedem von ihnen dasselbe von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen der Load-Balancer explizit in Ihrem DNS-Konfiguration. Zwischenschichten wie CDN können unvorhersehbare verhalten.
- Die Zieldomain muss über das Internet öffentlich auflösbar sein. Split-Horizont oder DNS-Firewallumgebungen die Bereitstellung von Zertifikaten beeinträchtigen können.
DNS-Autorisierung
Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Wenn Sie mehrere Zertifikate für eine Domain verwenden, können Sie die in jedem dieser Zertifikate dieselbe DNS-Autorisierung. Ihre DNS-Autorisierungen Sie müssen alle im Zertifikat angegebenen Domains abdecken. Andernfalls Zertifikat Fehler bei der Erstellung und Verlängerungen.
Sie können Zertifikate für jedes Projekt separat verwalten, indem Sie das projektspezifische DNS verwenden Autorisierung (Vorschau) Das bedeutet, dass Der Zertifikatmanager kann Zertifikate für jedes unabhängig in Google Cloud. DNS-Autorisierungen und Zertifikate, die Sie in einem Projekt verwenden, sind eigenständig und interagieren nicht anderen Projekten zusammenarbeiten.
Zum Einrichten einer DNS-Autorisierung müssen Sie einen CNAME-Eintrag für eine
Validierungs-Subdomain, die unter Ihrer Zieldomain Ihrer DNS-Konfiguration verschachtelt ist.
Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, die
Der Zertifikatmanager verwendet, um die Domaininhaberschaft zu bestätigen.
Der Zertifikatmanager gibt den Eintrag CNAME zurück, wenn Sie einen
DNS-Autorisierung für die Zieldomain.
Der Eintrag CNAME gewährt dem Zertifikatmanager außerdem die folgenden Berechtigungen:
Berechtigungen zur Bereitstellung und Verlängerung von Zertifikaten für diese Domain innerhalb
das Google Cloud-Zielprojekt. Wenn Sie diese Berechtigungen widerrufen möchten, entfernen Sie die CNAME
aus Ihrer DNS-Konfiguration.
Zum Aktivieren der projektspezifischen DNS-Autorisierung wählen Sie währendPER_PROJECT_RECORD
beim Erstellen der DNS-Autorisierung. Bei Auswahl erhalten Sie eine eindeutige
CNAME-Eintrag, der sowohl die Subdomain als auch das Ziel enthält und auf
für das jeweilige Projekt.
Fügen Sie der DNS-Zone der entsprechenden Domain den Eintrag CNAME hinzu.
Nächste Schritte
- Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit CA Service bereitstellen (Anleitung)
- Selbstverwaltetes Zertifikat bereitstellen (Anleitung)
- Zertifikate zum Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen der Zertifikatsausstellung verwalten