Auf dieser Seite wird beschrieben, wie die Domainautorisierung mit von Google verwalteten Zertifikaten funktioniert. Darin wird die Load Balancer-Autorisierung mit der DNS-Autorisierung verglichen und erläutert, wie Certificate Manager die Domaininhaberschaft mithilfe der jeweiligen Methode bestätigt.
Die Domainautorisierung gilt nicht für von Certificate Authority Service ausgestellte von Google verwaltete Zertifikate. Weitere Informationen zu solchen Zertifikaten finden Sie unter Von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen.
Mit Certificate Manager können Sie auf eine der folgenden Arten nachweisen, dass Sie Inhaber der Domains sind, für die Sie von Google verwaltete Zertifikate ausstellen möchten:
- Die Load Balancer-Autorisierung lässt sich schneller konfigurieren, unterstützt aber keine Platzhalterzertifikate. Außerdem können Zertifikate erst bereitgestellt werden, nachdem der Load Balancer vollständig eingerichtet und für den Netzwerkverkehr verfügbar ist.
- Für die DNS-Autorisierung müssen Sie zusätzliche spezielle DNS-Einträge zum Nachweis der Domaininhaberschaft konfigurieren. Sie können Zertifikate jedoch im Voraus bereitstellen, bevor der Zielproxy für den Netzwerkverkehr bereit ist. So können Sie eine Migration ohne Ausfallzeit von einer Drittanbieterlösung zu Google Cloudausführen.
Load-Balancer-Autorisierung
Die einfachste Möglichkeit, ein von Google verwaltetes Zertifikat auszustellen, ist die Load Balancer-Autorisierung. Bei dieser Methode werden Änderungen an Ihrer DNS-Konfiguration minimiert. Das TLS-Zertifikat (SSL) wird jedoch erst bereitgestellt, nachdem alle Konfigurationsschritte abgeschlossen sind. Daher eignet sich diese Methode am besten für die Einrichtung einer Umgebung von Grund auf, bis die Einrichtung abgeschlossen ist, ohne dass Produktionstraffic fließt.
Damit Sie von Google verwaltete Zertifikate mit Load Balancer-Autorisierung erstellen können, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:
- Auf das von Google verwaltete Zertifikat muss von allen IP-Adressen, die die Zieldomain bereitstellen, über Port 443 zugegriffen werden können. Andernfalls schlägt die Bereitstellung fehl. Wenn Sie beispielsweise separate Load Balancer für IPv4 und IPv6 haben, müssen Sie jedem von ihnen dasselbe von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen Ihrer Load Balancer in Ihrer DNS-Konfiguration explizit angeben. Zwischenschichten wie CDNs können zu unvorhersehbarem Verhalten führen.
- Die Zieldomain muss öffentlich aus dem Internet aufgelöst werden können. Split-Horizon- oder DNS-Firewall-Umgebungen können die Bereitstellung von Zertifikaten beeinträchtigen.
DNS-Autorisierung
Mit der DNS-Autorisierung können Sie die Domaininhaberschaft bestätigen und von Google verwaltete Zertifikate bereitstellen, noch bevor Ihre Produktionsumgebung vollständig eingerichtet ist. Das ist besonders nützlich, wenn Sie Zertifikate zu Google Cloudmigrieren.
Certificate Manager bestätigt die Domaininhaberschaft über DNS-Einträge. Jede DNS-Autorisierung speichert Informationen über den DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen für die Bereitstellung und Verlängerung von Zertifikaten verwenden. Wenn Sie mehrere Zertifikate für eine einzelne Domain haben, können Sie für alle dieselbe DNS-Autorisierung verwenden. Ihre DNS-Autorisierungen müssen jedoch alle im Zertifikat aufgeführten Domains abdecken. Andernfalls schlägt die Erstellung und Erneuerung von Zertifikaten fehl.
Wenn Sie eine DNS-Autorisierung einrichten möchten, müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag hinzufügen. Dieser Eintrag wird zum Validieren der Subdomain unter Ihrer Zieldomain verwendet. Der CNAME-Eintrag verweist auf eine spezielle Google Cloud Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird. Wenn Sie eine DNS-Autorisierung erstellen, gibt Certificate Manager diesen CNAME-Eintrag zurück und bestätigt Ihre Inhaberschaft.
Denken Sie daran, dass der CNAME-Eintrag Certificate Manager auch die Berechtigung zum Bereitstellen und Verlängern von Zertifikaten für die Zieldomain innerhalb Ihres Google Cloud -Projekts gewährt. Entfernen Sie den CNAME-Eintrag aus Ihrer DNS-Konfiguration, um diese Berechtigungen zu widerrufen.
Projektspezifische DNS-Autorisierung
Mit der projektspezifischen DNS-Autorisierung können Sie Zertifikate in jedem Projekt unabhängig voneinander verwalten. Google Cloud Mit einer pro Projekt gültigen DNS-Autorisierung kann Certificate Manager Zertifikate für jedes Projekt separat ausstellen und verwalten. Die DNS-Autorisierungen und ‑Zertifikate, die in einem Projekt verwendet werden, sind in sich geschlossen und interagieren nicht mit Artefakten aus anderen Projekten.
Wenn Sie eine projektspezifische DNS-Autorisierung aktivieren möchten, wählen Sie beim Erstellen einer DNS-Autorisierung die Option PER_PROJECT_RECORD aus. Sie erhalten dann einen eindeutigen CNAME-Eintrag, der sowohl eine Subdomain als auch ein für dieses Projekt spezifisches Ziel enthält. Dieser CNAME-Eintrag sollte der DNS-Zone der entsprechenden Domain hinzugefügt werden.
Nächste Schritte
- Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit Load Balancer-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit CA Service bereitstellen (Anleitung)
- Selbstverwaltetes Zertifikat bereitstellen (Anleitung)
- Zertifikat in den Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatzuordnungen verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatausstellung verwalten