Questa pagina descrive come funziona l'autorizzazione del dominio con i certificati gestiti da Google. Confronta l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS e illustra come Certificate Manager verifica la proprietà del dominio utilizzando ciascun metodo.
L'autorizzazione del dominio non si applica ai certificati gestiti da Google emessi dal Servizio autorità di certificazione. Per ulteriori informazioni su questi certificati, consulta Eseguire il deployment di un certificato gestito da Google con il servizio Certificate Authority.
Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
- L'autorizzazione del bilanciatore del carico è più rapida da configurare, ma non supporta i certificati con caratteri jolly. Inoltre, può eseguire il provisioning dei certificati solo dopo che il bilanciatore del carico è stato configurato completamente e gestisce il traffico di rete.
- L'autorizzazione DNS richiede la configurazione di record DNS dedicati aggiuntivi per dimostrare la proprietà del dominio, ma consente di eseguire il provisioning dei certificati in anticipo, prima che il proxy di destinazione sia pronto per gestire il traffico di rete. In questo modo, puoi eseguire una migrazione senza tempi di inattività da una soluzione di terze parti a Google Cloud.
Autorizzazione bilanciatore del carico
Il modo più semplice per emettere un certificato gestito da Google è con l'autorizzazione del bilanciatore del carico. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma fornisce il certificato TLS (SSL) solo dopo aver completato tutti i passaggi di configurazione. Pertanto, questo metodo è ideale per configurare un ambiente da zero senza alcun traffico di produzione fino al completamento della configurazione.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il tuo deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP che pubblicano il dominio di destinazione. In caso contrario, il provisioning non va a buon fine. Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi assegnare lo stesso certificato gestito da Google a ciascuno di essi.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico nella configurazione DNS. I livelli intermedi, come le CDN, possono causare un comportamento imprevedibile.
- Il dominio di destinazione deve essere risolvibile apertamente da internet. Gli ambienti di firewall DNS o con orizzonte diviso possono interferire con il provisioning dei certificati.
Autorizzazione DNS
L'autorizzazione DNS ti consente di verificare la proprietà del dominio e di eseguire il provisioning dei certificati gestiti da Google anche prima che l'ambiente di produzione sia completamente configurato. Questa opzione è particolarmente utile quando esegui la migrazione dei certificati a Google Cloud.
Certificate Manager verifica la proprietà del dominio tramite i record DNS. Ogni autorizzazione DNS memorizza informazioni sul record DNS e copre un singolo dominio e il relativo jolly (ad esempio, sia myorg.example.com che *.myorg.example.com).
Quando crei un certificato gestito da Google, puoi utilizzare una o più autorizzazioni DNS per il provisioning e il rinnovo dei certificati. Se hai più certificati per un singolo dominio, puoi utilizzare la stessa autorizzazione DNS per tutti. Tuttavia, le autorizzazioni DNS devono coprire tutti i domini elencati nel certificato. In caso contrario, la creazione e il rinnovo dei certificati non andranno a buon fine.
Per configurare l'autorizzazione DNS, devi aggiungere un record CNAME alla configurazione DNS. Questo record viene utilizzato per convalidare il sottodominio nel dominio di destinazione. Il record CNAME rimanda a un dominio Google Cloud speciale utilizzato da Certificate Manager per verificare la proprietà del tuo dominio. Quando crei un'autorizzazione DNS, Certificate Manager restituisce questo record CNAME e verifica la tua proprietà.
Ricorda che il record CNAME concede a Certificate Manager l'autorizzazione per eseguire il provisioning e il rinnovo dei certificati per il dominio di destinazione all'interno del tuo Google Cloud progetto. Per revocare queste autorizzazioni, rimuovi il record CNAME dalla configurazione DNS.
Autorizzazione DNS per progetto
L'autorizzazione DNS per progetto ti consente di gestire i certificati in modo indipendente all'interno di ogni Google Cloud progetto. Utilizzando l'autorizzazione DNS per progetto, Certificate Manager può emettere e gestire i certificati per ogni progetto separatamente. Le autorizzazioni e i certificati DNS utilizzati all'interno di un progetto sono autocontenuti e non interagiscono con gli elementi di altri progetti.
Per attivare l'autorizzazione DNS per progetto, scegli l'opzione PER_PROJECT_RECORD quando crei un'autorizzazione DNS. Riceverai un record CNAME univoco che include sia un sottodominio sia un target specifico per il progetto. Questo record CNAME deve essere aggiunto alla zona DNS del dominio pertinente.
Passaggi successivi
- Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Eseguire il deployment di un certificato gestito da Google con autorizzazione del bilanciatore del carico (tutorial)
- Eseguire il deployment di un certificato gestito da Google con il servizio CA (tutorial)
- Esegui il deployment di un certificato autogestito (tutorial)
- Eseguire la migrazione di un certificato a Certificate Manager
- Gestire i certificati
- Gestire le mappe dei certificati
- Gestire le voci delle mappe dei certificati
- Gestire le autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati