Autorización de dominio para certificados administrados por Google

En esta página, se describe cómo funciona la autorización de dominio con los certificados administrados por Google. Compara la autorización del balanceador de cargas con la autorización de DNS y explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.

La autorización de dominio no se aplica a los certificados administrados por Google emitidos por Certificate Authority Service. Para obtener más información sobre estos certificados, consulta Implementa un certificado administrado por Google con Certificate Authority Service.

El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:

  • La autorización del balanceador de cargas es más rápida de configurar, pero no admite certificados comodín. Además, solo puede aprovisionar certificados después de que el balanceador de cargas se haya configurado por completo y esté entregando tráfico de red.
  • La autorización de DNS requiere que configures registros DNS dedicados adicionales para la prueba de la propiedad del dominio, pero puede aprovisionar certificados por adelantado, antes de que el proxy de destino esté listo para entregar tráfico de red. Esto te permite realizar una migración sin tiempo de inactividad desde una solución de terceros a Google Cloud.

Autorización del balanceador de cargas

La forma más sencilla de emitir un certificado administrado por Google es mediante la autorización del balanceador de cargas. Con este método, se minimizan los cambios en la configuración del DNS, pero solo se aprovisiona el certificado TLS (SSL) después de que se completan todos los pasos de configuración. Por lo tanto, este método funciona mejor para configurar un entorno desde cero sin tráfico de producción que fluya hasta que se complete la configuración.

Para crear certificados administrados por Google con autorización del balanceador de cargas, tu implementación debe cumplir los siguientes requisitos:

  • Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las direcciones IP que sirven para el dominio de destino; de lo contrario, el aprovisionamiento falla. Por ejemplo, si tienes balanceadores de cargas separados para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno de ellos.
  • Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en tu configuración de DNS. Las capas intermedias, como la CDN, pueden causar un comportamiento impredecible.
  • El dominio de destino debe poder resolverse abiertamente desde Internet. Los entornos de firewall de horizonte dividido o DNS pueden interferir en el aprovisionamiento de certificados.

Autorización de DNS

Si deseas que tus certificados administrados por Google estén listos para usarse antes de que tu entorno de producción esté completamente configurado, como antes de comenzar una migración de otro proveedor a Google Cloud, puedes aprovisionarlos con autorizaciones DNS. En esta situación, el Administrador de certificados usa la validación basada en DNS. Cada autorización DNS almacena información sobre el registro DNS que debes configurar y abarca un solo dominio más su comodín, por ejemplo, myorg.example.com y *.myorg.example.com.

Cuando creas un certificado administrado por Google, puedes especificar una o más autorizaciones DNS para usar en el aprovisionamiento y la renovación de ese certificado. Si usas varios certificados para un solo dominio, puedes especificar la misma autorización de DNS en cada uno de esos certificados. Tus autorizaciones de DNS deben abarcar todos los dominios especificados en el certificado; de lo contrario, fallarán la creación y la renovación del certificado.

Puedes administrar los certificados de cada proyecto por separado mediante la autorización de DNS por proyecto (versión preliminar). Esto significa que el Administrador de certificados puede emitir y administrar certificados para cada proyecto de forma independiente dentro de Google Cloud. Los certificados y las autorizaciones de DNS que usas dentro de un proyecto son independientes y no interactúan con los de otros proyectos.

Para configurar una autorización de DNS, debes agregar a tu configuración de DNS un registro CNAME para un subdominio de validación anidado en tu dominio de destino. Este registro CNAME apunta a un dominio especial de Google Cloud que usa el Administrador de certificados para verificar la propiedad del dominio. El Administrador de certificados muestra el registro CNAME cuando creas una autorización de DNS para el dominio de destino.

En el subdominio de validación, el Administrador de certificados expone un registro TXT generado a partir del desafío único recibido de la AC. La AC debe poder acceder a este registro TXT para completar la verificación de la propiedad del dominio. Cuando creas la autorización de DNS para el dominio de destino, el Administrador de certificados muestra el registro CNAME correspondiente.

El registro CNAME también otorga al Administrador de certificados los permisos de aprovisionamiento y renovación de certificados para ese dominio dentro del proyecto de Google Cloud de destino. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.

Para habilitar la autorización de DNS por proyecto, selecciona PER_PROJECT_RECORD durante el proceso de creación de autorización de DNS. Luego de la selección, recibirás un registro CNAME único que incluye el subdominio y el objetivo, y que se personaliza para el proyecto específico.

Agrega el registro CNAME a la zona del DNS del dominio relevante.

¿Qué sigue?