En esta página se describe cómo funciona la autorización de dominio con los certificados gestionados por Google. En la página se compara la autorización del balanceador de carga con la autorización de DNS y se explica cómo verifica Certificate Manager la propiedad del dominio con cada método.
Gestor de certificados te permite demostrar la propiedad de los dominios para los que quieras emitir certificados gestionados por Google de una de las siguientes formas:
Autorización del balanceador de carga: implementa el certificado directamente en un balanceador de carga compatible sin crear un registro DNS. Este método es más rápido de configurar, pero no admite certificados comodín ni certificados regionales. Además, Certificate Manager solo puede aprovisionar certificados después de que el balanceador de carga se haya configurado por completo y esté sirviendo tráfico de red.
Autorización de DNS: implementa el certificado directamente en un balanceador de carga compatible después de crear registros DNS específicos para verificar la propiedad del dominio. Con este método, Certificate Manager puede aprovisionar certificados con antelación, antes de que el proxy de destino esté listo para servir tráfico de red.
La autorización de dominio no se aplica a los certificados gestionados por Google emitidos por el servicio de autoridad de certificación. Para obtener más información sobre estos certificados, consulta el artículo Implementar un certificado global gestionado por Google con el Servicio de Autoridades de Certificación.
Autorización del balanceador de carga
La autorización del balanceador de carga es el método más sencillo para emitir un certificado gestionado por Google. Este método minimiza los cambios en la configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) una vez que se ha completado la configuración del balanceador de carga. Este método también hace que la autorización del balanceador de carga sea ideal para entornos nuevos sin tráfico de producción.
Para crear certificados gestionados por Google con autorización de balanceador de carga, tu implementación debe cumplir los siguientes requisitos:
- Se debe poder acceder al certificado gestionado por Google a través del puerto 443 desde todas las direcciones IP que sirven el dominio de destino. De lo contrario, no se podrá aprovisionar. Por ejemplo, si tienes balanceadores de carga independientes para IPv4 e IPv6, debes asignarles el mismo certificado gestionado por Google.
- Debes especificar explícitamente las direcciones IP de tus balanceadores de carga en tu configuración de DNS, lo que evita que se produzcan errores de validación de dominio multiperspectiva. Las capas intermedias, como las CDN, pueden provocar un comportamiento impredecible.
- El dominio de destino debe poder resolverse abiertamente desde Internet. Los entornos de horizonte dividido o de cortafuegos DNS pueden interferir con el aprovisionamiento de certificados.
Autorización de DNS
La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados gestionados por Google incluso antes de que tu entorno de producción esté totalmente configurado. Esto es especialmente útil cuando migras certificados a Google Cloud.
Gestor de certificados verifica la propiedad del dominio mediante registros DNS. Cada autorización de DNS almacena información sobre un registro DNS y abarca un solo dominio y su comodín (por ejemplo, myorg.example.com y *.myorg.example.com). Un comodín solo abarca el primer nivel de subdominio y no los niveles de subdominio más profundos. Por ejemplo, *.myorg.example.com no cubre sub.subdomain.myorg.example.com.
Cuando creas un certificado gestionado por Google, puedes usar una o varias autorizaciones de DNS para aprovisionar y renovar certificados. Si tienes varios certificados para un mismo dominio, puedes usar la misma autorización de DNS para todos los certificados. Sin embargo, tus autorizaciones de DNS deben cubrir todos los dominios que figuren en el certificado. De lo contrario, no se podrán crear ni renovar certificados.
Para configurar la autorización de DNS, debes añadir un registro CNAME a tu configuración de DNS. Puedes usar este registro para validar el subdominio de tu dominio de destino. El registro CNAME apunta a un dominio especial Google Cloud que usa Certificate Manager para verificar la propiedad del dominio.
Cuando creas una autorización de DNS, Certificate Manager devuelve este registro CNAME y verifica tu propiedad.
Recuerda que el registro CNAME también concede a Certificate Manager permiso para aprovisionar y renovar certificados del dominio de destino en tu proyectoGoogle Cloud . Para revocar estos permisos, quite el registro CNAME de su configuración de DNS.
Autorización de DNS por proyecto
La autorización de DNS por proyecto te permite gestionar los certificados de forma independiente en cada proyecto. Google Cloud Con la autorización de DNS por proyecto, Certificate Manager puede emitir y gestionar certificados para cada proyecto por separado. Las autorizaciones y los certificados de DNS que se usan en un proyecto son independientes y no interactúan con los artefactos de otros proyectos.
Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD
al crear una autorización de DNS. A continuación, recibirás un CNAME
registro único que incluye tanto un subdominio como un destino específico para ese proyecto.
Debes añadir este registro CNAME a la zona DNS del dominio correspondiente.
Comparar la autorización del balanceador de carga con la autorización de DNS
Gestor de certificados le permite demostrar la propiedad de los dominios para los que quiera emitir certificados gestionados por Google, tal como se describe en la siguiente tabla.
| Autorización del balanceador de carga | Autorización de DNS | |
|---|---|---|
| Dificultad de la configuración | La autorización del balanceador de carga no requiere pasos de configuración adicionales ni cambios en la configuración de DNS. | Requiere que crees una autorización de DNS y añadas el registro CNAME correspondiente a tu configuración de DNS. |
| Seguridad de la red | El balanceador de carga debe ser totalmente accesible desde Internet a través del puerto 443, incluida la configuración de DNS de todos los dominios a los que dé servicio el certificado. La autorización del balanceador de carga no funciona con otras configuraciones. | Funciona con configuraciones muy complejas, como puertos distintos del 443 y capas de CDN delante del proxy de destino. |
| Velocidad de aprovisionamiento | Solo puede aprovisionar certificados una vez que el balanceador de carga esté configurado por completo y sirva tráfico de red. | Puedes aprovisionar certificados con antelación, antes de que el proxy de destino esté listo para servir tráfico de red. |
| Certificados comodín | No compatible | Compatible |
Siguientes pasos
- Gestionar autorizaciones de DNS
- Desplegar un certificado global gestionado por Google con autorización de balanceador de carga
- Desplegar un certificado global gestionado por Google con autorización de DNS