Halaman ini menjelaskan cara kerja otorisasi domain dengan sertifikat yang dikelola Google. Artikel ini membandingkan otorisasi load balancer dengan otorisasi DNS dan menjelaskan cara Pengelola Sertifikat memverifikasi kepemilikan domain menggunakan setiap metode.
Otorisasi domain tidak berlaku untuk sertifikat yang dikelola Google yang diterbitkan oleh Certificate Authority Service. Untuk mengetahui informasi selengkapnya tentang sertifikat tersebut, lihat Men-deploy sertifikat yang dikelola Google dengan Layanan Certificate Authority.
Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikatnya ingin Anda terbitkan oleh Google dengan salah satu cara berikut:
- Otorisasi load balancer lebih cepat dikonfigurasi, tetapi tidak mendukung sertifikat karakter pengganti. Ekstensi ini juga hanya dapat menyediakan sertifikat setelah load balancer disiapkan sepenuhnya dan menyalurkan traffic jaringan.
- Otorisasi DNS mengharuskan Anda mengonfigurasi data DNS khusus tambahan untuk bukti kepemilikan domain, tetapi dapat menyediakan sertifikat terlebih dahulu sebelum proxy target siap menyalurkan traffic jaringan. Hal ini memungkinkan Anda melakukan migrasi tanpa downtime dari solusi pihak ketiga ke Google Cloud.
Otorisasi load balancer
Cara termudah untuk menerbitkan sertifikat yang dikelola Google adalah dengan otorisasi load balancer. Metode ini meminimalkan perubahan pada konfigurasi DNS Anda, tetapi hanya menyediakan sertifikat TLS (SSL) setelah semua langkah konfigurasi selesai. Oleh karena itu, metode ini paling cocok untuk menyiapkan lingkungan dari awal tanpa traffic produksi yang mengalir hingga penyiapan selesai.
Untuk membuat sertifikat yang dikelola Google dengan otorisasi load balancer, deployment Anda harus memenuhi persyaratan berikut:
- Sertifikat yang dikelola Google harus dapat diakses di port 443 dari semua alamat IP yang menayangkan domain target. Jika tidak, penyediaan akan gagal. Misalnya, jika Anda memiliki load balancer terpisah untuk IPv4 dan IPv6, Anda harus menetapkan sertifikat yang dikelola Google yang sama ke setiap load balancer.
- Anda harus menentukan alamat IP load balancer secara eksplisit dalam konfigurasi DNS. Lapisan perantara, seperti CDN, dapat menyebabkan perilaku yang tidak dapat diprediksi.
- Domain target harus dapat di-resolve secara terbuka dari Internet. Lingkungan firewall DNS atau split-horizon dapat mengganggu penyediaan sertifikat.
Otorisasi DNS
Otorisasi DNS memungkinkan Anda memverifikasi kepemilikan domain dan menyediakan sertifikat yang dikelola Google bahkan sebelum lingkungan produksi disiapkan sepenuhnya. Hal ini sangat berguna saat Anda memigrasikan sertifikat ke Google Cloud.
Pengelola Sertifikat memverifikasi kepemilikan domain melalui data DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS, dan mencakup satu domain serta karakter penggantinya (misalnya, myorg.example.com dan *.myorg.example.com).
Saat membuat sertifikat yang dikelola Google, Anda dapat menggunakan satu atau beberapa otorisasi DNS untuk penyediaan dan perpanjangan sertifikat. Jika memiliki beberapa sertifikat untuk satu domain, Anda dapat menggunakan otorisasi DNS yang sama untuk semuanya. Namun, otorisasi DNS Anda harus mencakup semua domain yang tercantum dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.
Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME ke konfigurasi DNS. Data ini digunakan untuk memvalidasi subdomain di domain target Anda. Data CNAME mengarah ke domain Google Cloud khusus yang digunakan Pengelola Sertifikat untuk memverifikasi kepemilikan domain Anda. Saat Anda membuat otorisasi DNS, Pengelola Sertifikat akan menampilkan data CNAME ini dan memverifikasi kepemilikan Anda.
Ingat, data CNAME juga memberi Pengelola Sertifikat izin untuk menyediakan dan memperpanjang sertifikat untuk domain target dalam project Google Cloud Anda. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.
Otorisasi DNS per project
Otorisasi DNS per project memungkinkan Anda mengelola sertifikat secara independen dalam setiap project Google Cloud. Dengan menggunakan otorisasi DNS per project, Pengelola Sertifikat dapat menerbitkan dan menangani sertifikat untuk setiap project secara terpisah. Otorisasi dan sertifikat DNS yang digunakan dalam project bersifat mandiri dan tidak berinteraksi dengan artefak dari project lain.
Untuk mengaktifkan otorisasi DNS per project, pilih opsi PER_PROJECT_RECORD saat membuat otorisasi DNS. Kemudian, Anda akan menerima data CNAME unik yang menyertakan subdomain dan target khusus untuk project tersebut. Data CNAME ini harus ditambahkan ke zona DNS domain yang relevan.
Langkah selanjutnya
- Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial)
- Men-deploy sertifikat yang dikelola Google dengan otorisasi load balancer (tutorial)
- Men-deploy sertifikat yang dikelola Google dengan Layanan CA (tutorial)
- Men-deploy sertifikat yang dikelola sendiri (tutorial)
- Memigrasikan sertifikat ke Certificate Manager
- Mengelola sertifikat
- Mengelola peta sertifikat
- Mengelola entri peta sertifikat
- Mengelola otorisasi DNS
- Mengelola konfigurasi penerbitan sertifikat