Auf dieser Seite wird beschrieben, wie die Domainautorisierung mit von Google verwalteten Zertifikaten funktioniert. Darin wird die Load-Balancer-Autorisierung mit der DNS-Autorisierung verglichen und es wird erläutert, wie der Zertifikatmanager die Domaininhaberschaft mit jeder Methode überprüft.
Die Domainautorisierung gilt nicht für von Google verwaltete Zertifikate, die von Certificate Authority Service ausgestellt wurden. Weitere Informationen zu solchen Zertifikaten finden Sie unter Von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen.
Mit dem Zertifikatmanager können Sie die Inhaberschaft von Domains nachweisen, für die Sie von Google verwaltete Zertifikate ausstellen möchten. Dazu haben Sie folgende Möglichkeiten:
- Die Load-Balancer-Autorisierung ist schneller zu konfigurieren, unterstützt aber keine Platzhalterzertifikate. Außerdem können Zertifikate erst bereitgestellt werden, nachdem der Load-Balancer vollständig eingerichtet wurde und Netzwerkverkehr verarbeitet.
- Für die DNS-Autorisierung müssen Sie zusätzliche dedizierte DNS-Einträge zum Nachweis der Domaininhaberschaft konfigurieren. Zertifikate können jedoch im Voraus bereitgestellt werden, bevor der Zielproxy für den Netzwerktraffic bereit ist. So können Sie eine Migration ohne Ausfallzeiten von einer Drittanbieterlösung zu Google Cloud ausführen.
Load-Balancer-Autorisierung
Die einfachste Möglichkeit, ein von Google verwaltetes Zertifikat auszustellen, ist die Load-Balancer-Autorisierung. Bei dieser Methode werden Änderungen an der DNS-Konfiguration minimiert, aber das TLS/SSL-Zertifikat wird erst bereitgestellt, nachdem alle Konfigurationsschritte abgeschlossen sind. Daher eignet sich diese Methode am besten, um eine Umgebung von Grund auf neu einzurichten, in der bis zum Abschluss der Einrichtung kein Produktionstraffic fließt.
Wenn Sie von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung erstellen möchten, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:
- Das von Google verwaltete Zertifikat muss von allen IP-Adressen, die die Zieldomain bedienen, über Port 443 erreichbar sein. Andernfalls schlägt die Bereitstellung fehl. Wenn Sie beispielsweise separate Load-Balancer für IPv4 und IPv6 haben, müssen Sie ihnen jeweils dasselbe von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen Ihrer Load-Balancer in der DNS-Konfiguration explizit angeben. Zwischenschichten wie CDN können unvorhersehbares Verhalten verursachen.
- Die Zieldomain muss über das Internet öffentlich auflösbar sein. Split-Horizon- oder DNS-Firewallumgebungen können die Bereitstellung von Zertifikaten beeinträchtigen.
DNS-Autorisierung
Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Wenn Sie mehrere Zertifikate für eine einzelne Domain verwenden, können Sie in jedem dieser Zertifikate dieselbe DNS-Autorisierung angeben. Ihre DNS-Autorisierungen müssen alle im Zertifikat angegebenen Domains abdecken. Andernfalls schlägt das Erstellen und die Verlängerung des Zertifikats fehl.
Mithilfe der projektspezifischen DNS-Autorisierung können Sie Zertifikate für jedes Projekt separat verwalten (Vorabversion). Das bedeutet, dass der Zertifikatmanager Zertifikate für jedes Projekt unabhängig in Google Cloud ausstellen und verwalten kann. DNS-Autorisierungen und -Zertifikate, die Sie in einem Projekt verwenden, sind eigenständig und interagieren nicht mit denen in anderen Projekten.
Zum Einrichten einer DNS-Autorisierung müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag für eine Validierungs-Subdomain hinzufügen, die unter Ihrer Zieldomain verschachtelt ist.
Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, mit der der Zertifikatmanager die Domaininhaberschaft bestätigt.
Der Zertifikatmanager gibt den Eintrag CNAME zurück, wenn Sie eine DNS-Autorisierung für die Zieldomain erstellen.
Der CNAME-Eintrag gewährt dem Zertifikatmanager außerdem die Berechtigungen zum Bereitstellen und Verlängern von Zertifikaten für diese Domain innerhalb des Google Cloud-Zielprojekts. Wenn Sie diese Berechtigungen widerrufen möchten, entfernen Sie den Eintrag CNAME aus Ihrer DNS-Konfiguration.
Wenn Sie die DNS-Autorisierung pro Projekt aktivieren möchten, wählen Sie beim Erstellen der DNS-Autorisierung die Option PER_PROJECT_RECORD aus. Bei der Auswahl erhalten Sie einen eindeutigen CNAME-Eintrag, der sowohl die Subdomain als auch das Ziel enthält und auf das jeweilige Projekt zugeschnitten ist.
Fügen Sie der DNS-Zone der entsprechenden Domain den Eintrag CNAME hinzu.
Nächste Schritte
- Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit CA Service bereitstellen (Anleitung)
- Selbstverwaltetes Zertifikat bereitstellen (Anleitung)
- Zertifikate zum Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen der Zertifikatsausstellung verwalten