Cette page décrit le fonctionnement de l'autorisation de domaine avec les certificats gérés par Google. Il compare l'autorisation de l'équilibreur de charge à l'autorisation DNS et explique comment le gestionnaire de certificats vérifie la propriété du domaine à l'aide de chacune de ces méthodes.
L'autorisation de domaine ne s'applique pas aux certificats gérés par Google délivrés par Certificate Authority Service. Pour en savoir plus sur ces certificats, consultez la section Déployer un certificat géré par Google avec le service d'autorité de certification.
Le gestionnaire de certificats vous permet de prouver que vous êtes propriétaire des domaines pour lesquels vous souhaitez délivrer des certificats gérés par Google de l'une des manières suivantes:
- L'autorisation d'équilibreur de charge est plus rapide à configurer, mais n'est pas compatible avec les certificats génériques. Il ne peut également provisionner des certificats qu'après que l'équilibreur de charge a été entièrement configuré et qu'il diffuse du trafic réseau.
- L'autorisation DNS nécessite de configurer des enregistrements DNS dédiés supplémentaires pour prouver la propriété du domaine, mais vous pouvez provisionner des certificats à l'avance, avant que le proxy cible ne soit prêt à gérer le trafic réseau. Cela vous permet d'effectuer une migration sans temps d'arrêt d'une solution tierce vers Google Cloud.
Autorisation d'équilibreur de charge
Le moyen le plus simple d'émettre un certificat géré par Google est d'utiliser une autorisation d'équilibreur de charge. Cette méthode minimise les modifications apportées à votre configuration DNS, mais ne provisionne le certificat TLS (SSL) qu'après toutes les étapes de configuration. Par conséquent, cette méthode est la plus adaptée pour configurer un environnement à partir de zéro, sans trafic de production jusqu'à la fin de la configuration.
Pour créer des certificats gérés par Google avec une autorisation d'équilibreur de charge, votre déploiement doit répondre aux exigences suivantes:
- Le certificat géré par Google doit être accessible sur le port 443 à partir de toutes les adresses IP qui diffusent le domaine cible. Sinon, le provisionnement échoue. Par exemple, si vous disposez d'équilibreurs de charge distincts pour IPv4 et IPv6, vous devez attribuer le même certificat géré par Google à chacun d'eux.
- Vous devez spécifier explicitement les adresses IP de vos équilibreurs de charge dans votre configuration DNS. Les couches intermédiaires, telles que les CDN, peuvent entraîner un comportement imprévisible.
- Le domaine cible doit pouvoir être résolu de manière ouverte depuis Internet. Les environnements fractionnés ou de pare-feu DNS peuvent interférer avec le provisionnement des certificats.
Autorisation DNS
L'autorisation DNS vous permet de vérifier la propriété du domaine et de provisionner des certificats gérés par Google avant même que votre environnement de production ne soit entièrement configuré. Cette fonctionnalité est particulièrement utile lorsque vous migrez des certificats vers Google Cloud.
Le Gestionnaire de certificats vérifie la propriété du domaine via les enregistrements DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS et couvre un seul domaine et son caractère générique (par exemple, myorg.example.com et *.myorg.example.com).
Lorsque vous créez un certificat géré par Google, vous pouvez utiliser une ou plusieurs autorisations DNS pour le provisionnement et le renouvellement des certificats. Si vous disposez de plusieurs certificats pour un même domaine, vous pouvez utiliser la même autorisation DNS pour chacun d'eux. Toutefois, vos autorisations DNS doivent couvrir tous les domaines listés dans le certificat. Sinon, la création et le renouvellement des certificats échoueront.
Pour configurer l'autorisation DNS, vous devez ajouter un enregistrement CNAME à votre configuration DNS. Cet enregistrement permet de valider le sous-domaine de votre domaine cible. L'enregistrement CNAME pointe vers un domaine Google Cloud spécial utilisé par le Gestionnaire de certificats pour valider la propriété de votre domaine. Lorsque vous créez une autorisation DNS, le Gestionnaire de certificats renvoie cet enregistrement CNAME et vérifie votre propriété.
N'oubliez pas que l'enregistrement CNAME autorise également le gestionnaire de certificats à provisionner et à renouveler les certificats pour le domaine cible dans votre Google Cloud projet. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.
Autorisation DNS par projet
L'autorisation DNS par projet vous permet de gérer les certificats indépendamment dans chaque projet Google Cloud . Grâce à l'autorisation DNS par projet, Certificate Manager peut émettre et gérer les certificats de chaque projet séparément. Les autorisations et les certificats DNS utilisés dans un projet sont autonomes et n'interagissent pas avec les artefacts d'autres projets.
Pour activer l'autorisation DNS par projet, choisissez l'option PER_PROJECT_RECORD lorsque vous créez une autorisation DNS. Vous recevrez ensuite un enregistrement CNAME unique qui inclut à la fois un sous-domaine et une cible spécifique à ce projet. Cet enregistrement CNAME doit être ajouté à la zone DNS du domaine concerné.
Étape suivante
- Déployer un certificat géré par Google avec une autorisation DNS (tutoriel)
- Déployer un certificat géré par Google avec une autorisation d'équilibreur de charge (tutoriel)
- Déployer un certificat géré par Google avec le service d'autorité de certification (tutoriel)
- Déployer un certificat autogéré (tutoriel)
- Migrer un certificat vers le Gestionnaire de certificats
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les configurations d'émission de certificats