En esta página, se describe cómo funciona la autorización de dominios con los administradores certificados. Compara la autorización del balanceador de cargas con la autorización de DNS explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.
La autorización de dominio no se aplica a los certificados administrados por Google que se emitieron por Certificate Authority Service. Para obtener más información sobre estos certificados, consulta Implementa un certificado administrado por Google con Certificate Authority Service
El Administrador de certificados te permite demostrar la propiedad de los dominios en los que deseas emitir certificados administrados por Google de una de las siguientes maneras:
- La autorización del balanceador de cargas es más rápida de configurar, pero no es compatible. certificados comodín. También puede aprovisionar certificados después de la carga se configuró por completo y está entregando tráfico de red.
- La autorización de DNS requiere que configures DNS dedicado adicional para comprobar la propiedad del dominio, pero pueden aprovisionar certificados en antes de que el proxy de destino esté listo para entregar el tráfico de red. Esta te permite realizar una migración sin tiempo de inactividad desde una solución de terceros a Google Cloud.
Autorización del balanceador de cargas
La forma más sencilla de emitir un certificado administrado por Google es con el balanceador de cargas autorización. Este método minimiza los cambios en tu configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) después de que se hayan completado todos los pasos de configuración el proyecto se completó. Por lo tanto, este método funciona mejor para configurar un entorno desde desde cero sin que fluya tráfico de producción hasta que se complete la configuración.
Para crear certificados administrados por Google con autorización del balanceador de cargas, tu Deployment debe cumplir con los siguientes requisitos:
- Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las IP direcciones que entregan contenido al dominio de destino; De lo contrario, el aprovisionamiento fallará. Para Por ejemplo, si tienes balanceadores de cargas independientes para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno.
- Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en tus configuración de DNS. Las capas intermedias, como la CDN, pueden causar problemas de tu modelo.
- El dominio de destino debe poder resolverse de forma abierta en Internet. Horizonte dividido de firewall o DNS pueden interferir en el aprovisionamiento de certificados.
Autorización de DNS
Si quieres que tus certificados administrados por Google estén listos para usarse antes de que
entorno de producción estén completamente configurados, como antes de iniciar una migración
otro proveedor a Google Cloud, puedes aprovisionarle
autorizaciones. En esta situación, el Administrador de certificados usa
validación basada en DNS. Cada autorización de DNS almacena información sobre el
registro que necesitas configurar y abarca un solo dominio más su comodín, para
Por ejemplo, myorg.example.com y *.myorg.example.com.
Cuando creas un certificado administrado por Google, puedes especificar uno o más DNS autorizaciones para usar en el aprovisionamiento y la renovación de ese certificado. Si usan varios certificados para un solo dominio, puedes especificar misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS Debe abarcar todos los dominios especificados en el certificado. De lo contrario, la creación y las renovaciones fallan.
Puedes administrar certificados para cada proyecto por separado con DNS por proyecto autorización (Vista previa). Esto significa que El Administrador de certificados puede emitir y administrar certificados para cada uno de forma independiente dentro de Google Cloud. las autorizaciones de DNS y los certificados que usas en un proyecto son independientes y no interactúan con los de otros proyectos.
Para configurar una autorización de DNS, debes agregar un registro CNAME para un
subdominio de validación anidado en tu dominio de destino para tu configuración de DNS.
Este registro CNAME apunta a un dominio especial de Google Cloud que
El Administrador de certificados usa para verificar la propiedad del dominio.
El Administrador de certificados devuelve el registro CNAME cuando creas una
Autorización de DNS para el dominio de destino.
El registro CNAME también le otorga al Administrador de certificados el
permisos para el aprovisionamiento y la renovación de certificados para ese dominio en
el proyecto de Google Cloud de destino. Para revocar estos permisos, quita CNAME.
de tu configuración de DNS.
Para habilitar la autorización de DNS por proyecto, selecciona PER_PROJECT_RECORD durante
el proceso de creación de autorización de DNS. Luego de la selección, recibirás una
CNAME que incluye el subdominio y el destino, y que se adapta a
el proyecto específico.
Agrega el registro CNAME a la zona de DNS del dominio relevante.
¿Qué sigue?
- Implementa un certificado administrado por Google con autorización de DNS (instructivo)
- Implementa un certificado administrado por Google con autorización del balanceador de cargas (instructivo)
- Implementa un certificado administrado por Google con CA Service (instructivo)
- Implementa un certificado autoadministrado (instructivo)
- Migra un certificado al Administrador de certificados
- Administra certificados
- Administrar mapas de certificados
- Administra las entradas del mapa de certificados
- Administra autorizaciones de DNS
- Administra los parámetros de configuración de emisión de certificados