Questa pagina descrive come funziona l'autorizzazione del dominio con i certificati gestiti da Google. Confronta l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS e spiega come Gestore certificati verifica la proprietà del dominio utilizzando ciascun metodo.
L'autorizzazione del dominio non si applica ai certificati gestiti da Google emessi da Certificate Authority Service. Per maggiori informazioni su questi certificati, consulta Eseguire il deployment di un certificato gestito da Google con Certificate Authority Service.
Gestore certificati ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
- L'autorizzazione del bilanciatore del carico è più rapida da configurare, ma non supporta i certificati con caratteri jolly. Inoltre, può eseguire il provisioning dei certificati solo dopo che il bilanciatore del carico è stato completamente configurato e ha gestito il traffico di rete.
- L'autorizzazione DNS richiede la configurazione di record DNS dedicati aggiuntivi per la prova della proprietà del dominio, ma è possibile eseguire il provisioning dei certificati in anticipo, prima che il proxy di destinazione sia pronto per gestire il traffico di rete. Ciò consente di eseguire una migrazione senza tempi di inattività da una soluzione di terze parti a Google Cloud.
Autorizzazione bilanciatore del carico
Il modo più semplice per emettere un certificato gestito da Google è tramite l'autorizzazione del bilanciatore del carico. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma esegue il provisioning del certificato TLS (SSL) solo dopo aver completato tutti i passaggi di configurazione. Questo metodo è quindi l'ideale per configurare un ambiente dallo scratch senza che il traffico di produzione fluisca fino al completamento della configurazione.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP che gestiscono il dominio di destinazione, altrimenti il provisioning non va a buon fine. Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi assegnare a ciascuno lo stesso certificato gestito da Google.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico nella configurazione DNS. I livelli intermedi, come la CDN, possono causare comportamenti imprevedibili.
- Il dominio di destinazione deve essere apertamente risolvibile da internet. Gli ambienti firewall DNS o a orizzonte suddiviso possono interferire con il provisioning dei certificati.
Autorizzazione DNS
Se vuoi che i certificati gestiti da Google siano pronti per l'uso prima della configurazione completa dell'ambiente di produzione, ad esempio prima di avviare una migrazione da un altro fornitore a Google Cloud, puoi eseguire il provisioning con autorizzazioni DNS. In questo scenario, Gestore certificati utilizza
la convalida basata su DNS. Ogni autorizzazione DNS archivia le informazioni sul record DNS che devi configurare e copre un singolo dominio e il relativo carattere jolly, ad esempio myorg.example.com e *.myorg.example.com.
Quando crei un certificato gestito da Google, puoi specificare una o più autorizzazioni DNS da utilizzare per il provisioning e il rinnovo di tale certificato. Se utilizzi più certificati per un singolo dominio, puoi specificare la stessa autorizzazione DNS in ciascuno di questi certificati. Le autorizzazioni DNS devono riguardare tutti i domini specificati nel certificato, altrimenti la creazione e i rinnovi del certificato non andranno a buon fine.
Puoi gestire i certificati per ogni progetto separatamente utilizzando l'autorizzazione DNS per progetto (anteprima). Ciò significa che Gestore certificati può emettere e gestire i certificati per ogni progetto in modo indipendente all'interno di Google Cloud. Le autorizzazioni e i certificati DNS che utilizzi all'interno di un progetto sono autonomi e non interagiscono con questi utenti in altri progetti.
La configurazione di un'autorizzazione DNS richiede l'aggiunta alla configurazione DNS di un record CNAME per un sottodominio di convalida nidificato sotto il dominio di destinazione.
Questo record CNAME rimanda a un dominio Google Cloud speciale che
Gestore di certificati utilizza per verificare la proprietà del dominio.
Gestore certificati restituisce il record CNAME quando crei un'autorizzazione DNS per il dominio di destinazione.
Il record CNAME concede inoltre a Gestore certificati le autorizzazioni per il provisioning e il rinnovo dei certificati per quel dominio all'interno del progetto Google Cloud di destinazione. Per revocare queste autorizzazioni, rimuovi il record CNAME dalla configurazione DNS.
Per attivare l'autorizzazione DNS per progetto, seleziona PER_PROJECT_RECORD durante la procedura di creazione dell'autorizzazione DNS. Dopo la selezione, ricevi un record CNAME univoco che include sia un sottodominio che un target e personalizzato per il progetto specifico.
Aggiungi il record CNAME alla zona DNS del dominio pertinente.
Passaggi successivi
- Esegui il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Esegui il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico (tutorial)
- Esegui il deployment di un certificato gestito da Google con CA Service (tutorial)
- Esegui il deployment di un certificato autogestito (tutorial)
- Eseguire la migrazione di un certificato a Gestore certificati
- Gestire i certificati
- Gestisci le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci le autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati