Google 代管憑證的網域授權類型

本頁說明網域授權如何與 Google 管理的憑證搭配運作。這個頁面會比較負載平衡器授權與 DNS 授權,並說明憑證管理工具如何使用各個方法驗證網域擁有權。

您可以透過下列任一方式,在憑證管理工具中證明您要核發 Google 代管憑證的網域擁有權:

  • 負載平衡器授權:直接將憑證部署至支援的負載平衡器,不必建立 DNS 記錄。這種方法的設定速度較快,但不支援萬用字元憑證或區域憑證。此外,負載平衡器必須完全設定並開始提供網路流量,Certificate Manager 才能佈建憑證。

  • DNS 授權:建立專用 DNS 記錄驗證網域擁有權後,直接將憑證部署至支援的負載平衡器。使用這項方法時,憑證管理工具可以在目標 Proxy 準備好提供網路流量之前,預先佈建憑證。

網域授權不適用於憑證授權單位服務核發的 Google 代管憑證。如要進一步瞭解這類憑證,請參閱「透過憑證頒發機構服務部署全球 Google 代管憑證」。

負載平衡器授權

負載平衡器授權是發出 Google 管理憑證的最簡單方法。這種方法可盡量減少 DNS 設定的變更,但只會在負載平衡器設定完成後才佈建 TLS (SSL) 憑證。這種方法也讓負載平衡器授權功能非常適合沒有現有正式版流量的新環境。

如要建立具備負載平衡器授權的 Google 代管憑證,您的部署作業必須符合下列條件:

  • 所有提供目標網域的 IP 位址都必須透過通訊埠 443 存取 Google 代管的憑證,否則佈建作業會失敗。舉例來說,如果您為 IPv4 和 IPv6 分別設定負載平衡器,就必須為每個負載平衡器指派相同的 Google 管理憑證。
  • 您必須在 DNS 設定中明確指定負載平衡器的 IP 位址,以免發生多重觀點網域驗證失敗。CDN 等中介層可能會導致無法預測的行為。
  • 目標網域必須是可從網際網路公開解析的網域。水平分割或 DNS 防火牆環境可能會干擾憑證佈建作業。

DNS 授權

您可以在實際工作環境尚未完全設定完成前,透過 DNS 授權驗證網域擁有權,並佈建 Google 管理的憑證。這在將憑證遷移至 Google Cloud時特別實用。

憑證管理工具會透過 DNS 記錄驗證網域擁有權。每個 DNS 授權都會儲存 DNS 記錄的相關資訊,並涵蓋單一網域及其萬用字元 (例如 myorg.example.com*.myorg.example.com)。萬用字元只涵蓋第一個子網域層級,不涵蓋更深層的子網域層級。例如,*.myorg.example.com 不涵蓋 sub.subdomain.myorg.example.com

建立 Google 代管的憑證時,您可以使用一或多個 DNS 授權來佈建及續購憑證。如果單一網域有多個憑證,您可以為所有憑證使用相同的 DNS 授權。不過,DNS 授權必須涵蓋憑證中列出的所有網域;如果不涵蓋,則建立和續發憑證會失敗。

如要設定 DNS 授權,您必須在 DNS 設定中新增 CNAME 記錄。您可以使用這個記錄驗證目標網域下的子網域。CNAME 記錄會指向 Certificate Manager 用來驗證網域擁有權的特殊 Google Cloud 網域。建立 DNS 授權時,憑證管理工具會傳回這個 CNAME 記錄,並驗證您的擁有權。

請注意,CNAME 記錄也會授予憑證管理工具在Google Cloud 專案中為目標網域設定和續訂憑證的權限。如要撤銷這些權限,請從 DNS 設定中移除 CNAME 記錄。

依專案 DNS 授權

依專案 DNS 授權可讓您在各 Google Cloud 專案中獨立管理憑證。使用個別專案 DNS 授權,憑證管理工具就能分別為每個專案核發及處理憑證。專案中使用的 DNS 授權和憑證是自給自足的,不會與其他專案的構件互動。

如要啟用個別專案的 DNS 授權,請在建立 DNS 授權時選擇 PER_PROJECT_RECORD 選項。接著,您會收到不重複的 CNAME 記錄,其中包含子網域和專屬於該專案的目標。您應將此 CNAME 記錄新增至相關網域的 DNS 區域。

比較負載平衡器授權與 DNS 授權

憑證管理工具可讓您證明要核發 Google 管理憑證的網域擁有權,如下表所述。

負載平衡器授權 DNS 授權
設定複雜度 負載平衡器授權不需要額外的設定步驟,也不需要變更 DNS 設定。 需要建立 DNS 授權,並在 DNS 設定中新增對應的 CNAME 記錄。
網路安全 負載平衡器必須透過通訊埠 443 從網際網路完全存取,包括憑證所服務的所有網域的 DNS 設定。負載平衡器授權不適用於其他設定。 可搭配使用極為複雜的設定,例如 443 以外的通訊埠,以及目標 Proxy 前方的 CDN 層。
佈建速度 您必須先完成負載平衡器的完整設定,並開始提供網路流量,才能佈建憑證。 您可以在目標 Proxy 準備好處理網路流量之前,先行佈證書。
萬用字元憑證 不支援 支援

後續步驟