Auf dieser Seite wird beschrieben, wie die Domainautorisierung mit von Google verwalteten Zertifikaten funktioniert. Sie vergleicht die Load-Balancer-Autorisierung mit der DNS-Autorisierung und erläutert, wie der Zertifikatmanager die Domaininhaberschaft mit den einzelnen Methoden überprüft.
Die Domainautorisierung gilt nicht für von Google verwaltete Zertifikate, die von Certificate Authority Service ausgestellt wurden. Weitere Informationen zu solchen Zertifikaten finden Sie unter Von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen.
Mit dem Zertifikatmanager können Sie die Inhaberschaft von Domains nachweisen, für die Sie von Google verwaltete Zertifikate auf eine der folgenden Arten ausstellen möchten:
- Die Load-Balancer-Autorisierung lässt sich schneller konfigurieren, unterstützt aber keine Platzhalterzertifikate. Außerdem können Zertifikate erst bereitgestellt werden, nachdem der Load-Balancer vollständig eingerichtet wurde und Netzwerkverkehr bereitstellt.
- Für die DNS-Autorisierung müssen Sie zusätzliche dedizierte DNS-Einträge zum Nachweis der Domaininhaberschaft konfigurieren. Sie können aber auch im Voraus Zertifikate bereitstellen, bevor der Zielproxy für den Netzwerkverkehr bereit ist. So können Sie eine Migration ohne Ausfallzeiten von einer Drittanbieterlösung zu Google Cloud ausführen.
Load-Balancer-Autorisierung
Die einfachste Möglichkeit, ein von Google verwaltetes Zertifikat auszustellen, ist die Autorisierung des Load-Balancers. Mit dieser Methode werden Änderungen an der DNS-Konfiguration minimiert, aber das TLS-Zertifikat (SSL) wird erst bereitgestellt, nachdem alle Konfigurationsschritte abgeschlossen sind. Daher eignet sich diese Methode am besten, um eine Umgebung neu einzurichten, ohne dass bis zum Abschluss der Einrichtung Produktionstraffic fließt.
Damit von Google verwaltete Zertifikate mit Autorisierung eines Load-Balancers erstellt werden können, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:
- Das von Google verwaltete Zertifikat muss über alle IP-Adressen der Zieldomain über Port 443 zugänglich sein. Andernfalls schlägt die Bereitstellung fehl. Wenn Sie beispielsweise separate Load-Balancer für IPv4 und IPv6 haben, müssen Sie jedem Gerät das gleiche von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen der Load-Balancer explizit in der DNS-Konfiguration angeben. Zwischenschichten wie CDN können unvorhersehbares Verhalten verursachen.
- Die Zieldomain muss offen über das Internet aufgelöst werden können. Split-Horizon- oder DNS-Firewallumgebungen können die Bereitstellung von Zertifikaten beeinträchtigen.
DNS-Autorisierung
Wenn Sie möchten, dass Ihre von Google verwalteten Zertifikate einsatzbereit sind, bevor Ihre Produktionsumgebung vollständig eingerichtet ist, z. B. vor einer Migration von einem anderen Anbieter zu Google Cloud, können Sie sie mit DNS-Autorisierungen versehen. In diesem Szenario verwendet Certificate Manager die DNS-basierte Validierung. Jede DNS-Autorisierung speichert Informationen über den einzurichtenden DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen angeben, die für die Bereitstellung und Verlängerung dieses Zertifikats verwendet werden sollen. Wenn Sie mehrere Zertifikate für eine einzelne Domain verwenden, können Sie in jedem dieser Zertifikate dieselbe DNS-Autorisierung angeben. Ihre DNS-Autorisierungen müssen alle im Zertifikat angegebenen Domains abdecken. Andernfalls schlagen die Erstellung und Verlängerung von Zertifikaten fehl.
Mithilfe der projektspezifischen DNS-Autorisierung können Sie Zertifikate für jedes Projekt separat verwalten (Vorschau). Dadurch kann der Zertifikatsmanager für jedes Projekt unabhängig in Google Cloud Zertifikate ausstellen und verwalten. DNS-Autorisierungen und -Zertifikate, die Sie in einem Projekt verwenden, sind eigenständig und interagieren nicht mit denen in anderen Projekten.
Zum Einrichten einer DNS-Autorisierung müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag für eine Validierungs-Subdomain hinzufügen, die unter Ihrer Zieldomain verschachtelt ist.
Dieser CNAME-Eintrag verweist auf eine spezielle Google Cloud-Domain, mit der Certificate Manager die Domaininhaberschaft bestätigt.
Der Zertifikatmanager gibt den CNAME-Eintrag zurück, wenn Sie eine DNS-Autorisierung für die Zieldomain erstellen.
In der Subdomain der Validierung stellt der Zertifikatmanager einen TXT-Eintrag bereit, der bei der einmaligen Identitätsbestätigung von der Zertifizierungsstelle generiert wurde. Die Zertifizierungsstelle muss auf diesen TXT-Eintrag zugreifen können, um die Bestätigung der Domaininhaberschaft abzuschließen.
Wenn Sie die DNS-Autorisierung für die Zieldomain erstellen, gibt der Zertifikatsmanager den entsprechenden CNAME-Eintrag zurück.
Der Eintrag CNAME gewährt dem Zertifikatmanager außerdem die Berechtigungen zum Bereitstellen und Verlängern von Zertifikaten für diese Domain im Google Cloud-Zielprojekt. Wenn Sie diese Berechtigungen widerrufen möchten, entfernen Sie den Eintrag CNAME aus der DNS-Konfiguration.
Wählen Sie beim Erstellen der DNS-Autorisierung PER_PROJECT_RECORD aus, um die DNS-Autorisierung pro Projekt zu aktivieren. Nach der Auswahl erhalten Sie einen eindeutigen CNAME-Eintrag, der sowohl die Subdomain als auch das Ziel enthält und auf das jeweilige Projekt zugeschnitten ist.
Fügen Sie der DNS-Zone der entsprechenden Domain den CNAME-Eintrag hinzu.
Nächste Schritte
- Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung bereitstellen (Anleitung)
- Von Google verwaltetes Zertifikat mit CA Service bereitstellen (Tutorial)
- Selbstverwaltetes Zertifikat bereitstellen (Anleitung)
- Zertifikate zum Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Einträge in der Zertifikatszuordnung verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatsausstellung verwalten