此页面介绍了由 Google 管理的网域授权如何运作 证书。它会将负载均衡器授权与 DNS 授权进行比较, 介绍了证书管理器如何使用 。
网域授权不适用于颁发的 Google 管理的证书 由 Certificate Authority Service 提供。如需详细了解此类证书,请参阅 使用 Certificate Authority Service 部署 Google 管理的证书。
通过证书管理器,您可以证明您对 您希望通过以下某种方式颁发 Google 管理的证书:
- 负载平衡器授权配置速度更快,但不支持 通配符。此外,它只能在加载之后再预配证书 均已完成设置,正在处理网络流量。
- DNS 授权要求您配置额外的专用 DNS 以证明网域所有权,但可以在 Google Cloud 控制台中 。这个 让您可以从第三方解决方案执行零停机迁移 Google Cloud
负载均衡器授权
如需颁发 Google 管理的证书,最简单的方法是使用负载均衡器 授权。此方法可最大限度地减少对 DNS 配置的更改, 在完成所有配置步骤后预配 TLS (SSL) 证书 已完成。因此,此方法最适合从 在设置完成之前,不会产生任何生产流量。
如需使用负载均衡器授权创建 Google 管理的证书,您的 必须符合以下要求:
- 必须可以通过端口 443 从所有 IP 访问 Google 管理的证书 服务于目标网域的地址;否则预配将失败对于 例如,如果您为 IPv4 和 IPv6 使用单独的负载平衡器 将同一个 Google 管理的证书分配给它们。
- 您必须明确指定负载平衡器的 IP 地址, DNS 配置。中间层(例如 CDN)可能会导致不可预测的 行为
- 目标网域必须可通过互联网公开解析。水平分割 或 DNS 防火墙环境可能会干扰证书预配。
DNS 授权
如果您希望在 Google Cloud 控制台
所有生产环境设置,例如在从
您可以用 DNS 预配它们
授权。在这种情况下,证书管理器使用
基于 DNS 的验证。每个 DNS 授权都会存储有关 DNS 的信息
记录您需要设置和覆盖单个域及其通配符。
例如 myorg.example.com 和 *.myorg.example.com。
创建 Google 管理的证书时,您可以指定一个或多个 DNS 用于配置和续订该证书的授权。如果您 针对单个网域使用多个证书,您可以指定 每个证书拥有相同的 DNS 授权。您的 DNS 授权 必须涵盖证书中指定的所有网域;否则,证书 创建失败,且续订失败。
您可以使用每个项目的 DNS 单独管理每个项目的证书 授权(预览版)。这意味着 Certificate Manager 可以为每个证书管理器颁发和管理证书 独立项目。DNS 授权 您在项目中使用的证书是独立的,不会相互交互 与其他项目中的成员共享功能
设置 DNS 授权时,您需要添加 CNAME 记录,
将验证子网域嵌套在您的目标网域下,并添加到您的 DNS 配置中。
此 CNAME 记录指向一个特殊的 Google Cloud 域名,
证书管理器用于验证网域所有权。
创建证书管理器时,证书管理器会返回 CNAME
目标网域的 DNS 授权。
CNAME 记录还会向证书管理器授予
为网域内的相关网域预配和续订证书的权限
目标 Google Cloud 项目。如需撤消这些权限,请移除CNAME
记录。
要启用每个项目的 DNS 授权,请选择PER_PROJECT_RECORD
DNS 授权创建过程。选择后
CNAME 记录,包含子网域和目标,用于
特定项目。
将 CNAME 记录添加到相关网域的 DNS 区域。
后续步骤
- 使用 DNS 授权部署 Google 管理的证书(教程)
- 使用负载均衡器授权部署 Google 管理的证书(教程)
- 使用 CA Service 部署 Google 管理的证书(教程)
- 部署自行管理的证书(教程)
- 将证书迁移到证书管理器
- 管理证书
- 管理证书映射
- 管理证书映射条目
- 管理 DNS 授权
- 管理证书颁发配置