Nesta página, descrevemos como a autorização de domínio funciona com certificados gerenciados pelo Google. Ele compara a autorização do balanceador de carga com a autorização do DNS e explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
A autorização de domínio não se aplica aos certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Como implantar um certificado gerenciado pelo Google com o Certificate Authority Service.
O Gerenciador de certificados permite comprovar a propriedade de domínios para emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
- A autorização do balanceador de carga é mais rápida de configurar, mas não é compatível com certificados de caracteres curinga. Além disso, só é possível provisionar certificados depois que o balanceador de carga for totalmente configurado e estiver veiculando o tráfego de rede.
- A autorização de DNS exige que você configure mais registros DNS dedicados para comprovar a propriedade do domínio, mas pode provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para atender ao tráfego de rede. Isso permite que você realize uma migração com inatividade zero de uma solução de terceiros para o Google Cloud.
Autorização do balanceador de carga
A maneira mais simples de emitir um certificado gerenciado pelo Google é com a autorização do balanceador de carga. Esse método minimiza as mudanças na configuração de DNS, mas só provisiona o certificado TLS (SSL) depois que todas as etapas de configuração são concluídas. Portanto, esse método funciona melhor para configurar um ambiente do zero, sem tráfego de produção fluindo até que a configuração seja concluída.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua implantação precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa estar acessível na porta 443 de todos os endereços IP que atendem ao domínio de destino. Caso contrário, o provisionamento falhará. Por exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será preciso atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- É preciso especificar explicitamente os endereços IP dos balanceadores de carga na configuração de DNS. Camadas intermediárias, como CDN, podem causar comportamento imprevisível.
- É necessário que o domínio de destino possa ser resolvido abertamente pela Internet. Os ambientes de firewall split-horizon ou DNS podem interferir no provisionamento de certificados.
Autorização de DNS
Se você quiser que os certificados gerenciados pelo Google estejam prontos para uso antes que o ambiente de produção esteja totalmente configurado, por exemplo, antes de iniciar uma migração de outro fornecedor para o Google Cloud, é possível provisioná-los com autorizações de DNS. Nesse cenário, o Gerenciador de certificados usa a validação baseada em DNS. Cada autorização de DNS armazena informações sobre o registro
DNS que você precisa configurar e abrange um único domínio e o caractere curinga dele, por
exemplo, myorg.example.com e *.myorg.example.com.
Ao criar um certificado gerenciado pelo Google, é possível especificar uma ou mais autorizações de DNS a serem usadas para o provisionamento e a renovação do certificado. Quando você usa vários certificados para um único domínio, é possível especificar a mesma autorização de DNS em cada um deles. Suas autorizações de DNS precisam abranger todos os domínios especificados no certificado. Caso contrário, a criação e as renovações do certificado vão falhar.
É possível gerenciar certificados de cada projeto separadamente usando a autorização DNS por projeto (pré-lançamento). Isso significa que o Gerenciador de certificados pode emitir e gerenciar certificados para cada projeto de maneira independente no Google Cloud. As autorizações e os certificados de DNS que você usa em um projeto são independentes e não interagem com os de outros projetos.
A configuração de uma autorização de DNS exige que você adicione um registro CNAME para um
subdomínio de validação aninhado no seu domínio de destino à configuração de DNS.
Esse registro CNAME aponta para um domínio especial do Google Cloud que o Gerenciador de certificados usa para verificar a propriedade do domínio.
O Gerenciador de certificados retorna o registro CNAME quando você cria uma autorização de DNS para o domínio de destino.
O registro CNAME também concede ao Gerenciador de certificados as
permissões para provisionamento e renovação de certificados para esse domínio no
projeto de destino do Google Cloud. Para revogar essas permissões, remova o registro CNAME
da sua configuração de DNS.
Para ativar a autorização de DNS por projeto, selecione PER_PROJECT_RECORD durante
o processo de criação da autorização de DNS. Após a seleção, você recebe um registro
CNAME exclusivo que inclui o subdomínio e o destino e que é personalizado para
o projeto específico.
Adicione o registro CNAME à zona de DNS do domínio relevante.
A seguir
- Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
- Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
- Implantar um certificado gerenciado pelo Google com o serviço de CA (tutorial)
- Implantar um certificado autogerenciado (tutorial)
- Migrar um certificado para o Gerenciador de certificados
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados