Auf dieser Seite wird beschrieben, wie die Domainautorisierung mit von Google verwalteten Zertifikaten funktioniert. Auf der Seite wird die Load Balancer-Autorisierung mit der DNS-Autorisierung verglichen und erläutert, wie Certificate Manager die Domaininhaberschaft mithilfe der jeweiligen Methode überprüft.
Mit Certificate Manager können Sie auf eine der folgenden Arten nachweisen, dass Sie Inhaber der Domains sind, für die Sie von Google verwaltete Zertifikate ausstellen möchten:
Load Balancer-Autorisierung: Das Zertifikat wird direkt auf einem unterstützten Load Balancer bereitgestellt, ohne dass ein DNS-Eintrag erstellt wird. Diese Methode ist schneller zu konfigurieren, unterstützt aber keine Platzhalterzertifikate oder regionalen Zertifikate. Außerdem kann der Zertifikatsmanager erst dann Zertifikate bereitstellen, wenn der Load Balancer vollständig eingerichtet ist und Netzwerkverkehr verarbeitet.
DNS-Autorisierung: Das Zertifikat wird direkt auf einem unterstützten Load Balancer bereitgestellt, nachdem spezielle DNS-Einträge zur Bestätigung der Domaininhaberschaft erstellt wurden. Mit dieser Methode kann Certificate Manager Zertifikate im Voraus bereitstellen, bevor der Zielproxy für den Netzwerkverkehr bereit ist.
Die Domainautorisierung gilt nicht für von Certificate Authority Service ausgestellte, von Google verwaltete Zertifikate. Weitere Informationen zu solchen Zertifikaten finden Sie unter Globales von Google verwaltetes Zertifikat mit Certificate Authority Service bereitstellen.
Load-Balancer-Autorisierung
Die Load Balancer-Autorisierung ist die einfachste Methode, um ein von Google verwaltetes Zertifikat auszustellen. Bei dieser Methode werden Änderungen an Ihrer DNS-Konfiguration minimiert. Das TLS-Zertifikat (SSL) wird jedoch erst bereitgestellt, wenn die Konfiguration des Load Balancers abgeschlossen ist. Diese Methode eignet sich auch ideal für neue Umgebungen ohne vorhandenen Produktionstraffic.
Damit Sie von Google verwaltete Zertifikate mit Load Balancer-Autorisierung erstellen können, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:
- Auf das von Google verwaltete Zertifikat muss von allen IP-Adressen, die die Zieldomain bereitstellen, über Port 443 zugegriffen werden können. Andernfalls schlägt die Bereitstellung fehl. Wenn Sie beispielsweise separate Load Balancer für IPv4 und IPv6 haben, müssen Sie jedem von ihnen dasselbe von Google verwaltete Zertifikat zuweisen.
- Sie müssen die IP-Adressen Ihrer Load Balancer in Ihrer DNS-Konfiguration explizit angeben, um Fehlschläge bei der mehrperspektivischen Domainüberprüfung zu vermeiden. Zwischenschichten wie CDNs können zu unvorhersehbarem Verhalten führen.
- Die Zieldomain muss öffentlich aus dem Internet aufgelöst werden können. Split-Horizon- oder DNS-Firewall-Umgebungen können die Bereitstellung von Zertifikaten beeinträchtigen.
DNS-Autorisierung
Mit der DNS-Autorisierung können Sie die Domaininhaberschaft bestätigen und von Google verwaltete Zertifikate bereitstellen, noch bevor Ihre Produktionsumgebung vollständig eingerichtet ist. Das ist besonders nützlich, wenn Sie Zertifikate zu Google Cloudmigrieren.
Certificate Manager bestätigt die Domaininhaberschaft über DNS-Einträge. Jede DNS-Autorisierung speichert Informationen über den DNS-Eintrag und deckt eine einzelne Domain sowie ihren Platzhalter ab, z. B. myorg.example.com und *.myorg.example.com.
Beim Erstellen eines von Google verwalteten Zertifikats können Sie eine oder mehrere DNS-Autorisierungen für die Bereitstellung und Verlängerung von Zertifikaten verwenden. Wenn Sie mehrere Zertifikate für eine einzelne Domain haben, können Sie für alle dieselbe DNS-Autorisierung verwenden. Ihre DNS-Autorisierungen müssen jedoch alle im Zertifikat aufgeführten Domains abdecken. Andernfalls schlägt die Erstellung und Erneuerung von Zertifikaten fehl.
Wenn Sie eine DNS-Autorisierung einrichten möchten, müssen Sie Ihrer DNS-Konfiguration einen CNAME-Eintrag hinzufügen. Dieser Eintrag wird zum Validieren der Subdomain unter Ihrer Zieldomain verwendet. Der CNAME-Eintrag verweist auf eine spezielle Google Cloud Domain, die vom Zertifikatmanager zum Bestätigen der Domaininhaberschaft verwendet wird. Wenn Sie eine DNS-Autorisierung erstellen, gibt Certificate Manager diesen CNAME-Eintrag zurück und bestätigt Ihre Inhaberschaft.
Denken Sie daran, dass der CNAME-Eintrag Certificate Manager auch die Berechtigung zum Bereitstellen und Verlängern von Zertifikaten für die Zieldomain in Ihrem Google Cloud -Projekt erteilt. Entfernen Sie den CNAME-Eintrag aus Ihrer DNS-Konfiguration, um diese Berechtigungen zu widerrufen.
Projektspezifische DNS-Autorisierung
Mit der projektspezifischen DNS-Autorisierung können Sie Zertifikate in jedem Projekt unabhängig verwalten. Google Cloud Mit einer pro Projekt gültigen DNS-Autorisierung kann Certificate Manager Zertifikate für jedes Projekt separat ausstellen und verwalten. Die DNS-Autorisierungen und ‑Zertifikate, die in einem Projekt verwendet werden, sind in sich geschlossen und interagieren nicht mit Artefakten aus anderen Projekten.
Wenn Sie eine projektspezifische DNS-Autorisierung aktivieren möchten, wählen Sie beim Erstellen einer DNS-Autorisierung die Option PER_PROJECT_RECORD aus. Sie erhalten dann einen eindeutigen CNAME-Eintrag, der sowohl eine Subdomain als auch ein für dieses Projekt spezifisches Ziel enthält. Dieser CNAME-Eintrag sollte der DNS-Zone der entsprechenden Domain hinzugefügt werden.
Load Balancer-Autorisierung mit DNS-Autorisierung vergleichen
Mit dem Zertifikatsmanager können Sie die Inhaberschaft von Domains nachweisen, für die Sie von Google verwaltete Zertifikate ausstellen möchten, wie in der folgenden Tabelle beschrieben.
| Load-Balancer-Autorisierung | DNS-Autorisierung | |
|---|---|---|
| Einrichtungskomplexität | Für die Autorisierung des Load Balancers sind keine zusätzlichen Konfigurationsschritte oder Änderungen an der DNS-Konfiguration erforderlich. | Sie müssen eine DNS-Autorisierung erstellen und den entsprechenden CNAME-Eintrag Ihrer DNS-Konfiguration hinzufügen. |
| Netzwerksicherheit | Der Load Balancer muss über Port 443 vollständig aus dem Internet zugänglich sein, einschließlich der DNS-Konfiguration für alle Domains, die über das Zertifikat bereitgestellt werden. Die Autorisierung für Load Balancer funktioniert nicht mit anderen Konfigurationen. | Funktioniert mit sehr komplexen Konfigurationen, z. B. mit anderen Ports als 443 und CDN-Ebenen vor dem Zielproxy. |
| Bereitstellungsgeschwindigkeit | Sie können Zertifikate erst bereitstellen, wenn der Load Balancer vollständig eingerichtet ist und Netzwerkverkehr verarbeitet. | Sie können Zertifikate vorab bereitstellen, bevor der Zielproxy für den Netzwerkverkehr bereit ist. |
| Platzhalterzertifikate | Nicht unterstützt | Unterstützt |
Nächste Schritte
- DNS-Autorisierungen verwalten
- Globales von Google verwaltetes Zertifikat mit Load Balancer-Autorisierung bereitstellen
- Globales von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen