En esta página, se describe cómo funciona la autorización de dominios con los certificados administrados por Google. En la página, se compara la autorización del balanceador de cargas con la autorización de DNS y se explica cómo el Administrador de certificados verifica la propiedad del dominio con cada método.
El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google de una de las siguientes maneras:
Autorización de balanceador de cargas: Implementa el certificado directamente en un balanceador de cargas compatible sin crear un registro DNS. Este método es más rápido de configurar, pero no admite certificados regionales ni de comodines. Además, el Administrador de certificados solo puede aprovisionar certificados después de que el balanceador de cargas se haya configurado por completo y esté publicando tráfico de red.
Autorización de DNS: Implementa el certificado directamente en un equilibrador de cargas compatible después de crear registros DNS dedicados para la verificación de la propiedad del dominio. Con este método, el Administrador de certificados puede aprovisionar certificados con anticipación, antes de que el proxy de destino esté listo para entregar tráfico de red.
La autorización de dominio no se aplica a los certificados administrados por Google emitidos por Certificate Authority Service. Para obtener más información sobre estos certificados, consulta Implementa un certificado global administrado por Google con Certificate Authority Service.
Autorización del balanceador de cargas
La autorización del balanceador de cargas es el método más sencillo para emitir un certificado administrado por Google. Este método minimiza los cambios en la configuración de DNS, pero solo aprovisiona el certificado TLS (SSL) después de que se completa la configuración del balanceador de cargas. Este método también hace que la autorización del balanceador de cargas sea ideal para entornos nuevos sin tráfico de producción existente.
Para crear certificados administrados por Google con autorización de balanceador de cargas, tu implementación debe cumplir con los siguientes requisitos:
- Se debe poder acceder al certificado administrado por Google en el puerto 443 desde todas las direcciones IP que publiquen el dominio de destino. De lo contrario, fallará el aprovisionamiento. Por ejemplo, si tienes balanceadores de cargas independientes para IPv4 e IPv6, debes asignar el mismo certificado administrado por Google a cada uno de ellos.
- Debes especificar de forma explícita las direcciones IP de tus balanceadores de cargas en la configuración de DNS, lo que evita errores de validación de dominios de múltiples perspectivas. Las capas intermedias, como la CDN, pueden causar un comportamiento impredecible.
- El dominio de destino debe poder resolverse de forma abierta desde Internet. Los entornos de DNS de horizonte dividido o firewall pueden interferir con el aprovisionamiento de certificados.
Autorización de DNS
La autorización de DNS te permite verificar la propiedad del dominio y aprovisionar certificados administrados por Google incluso antes de que tu entorno de producción esté completamente configurado. Esto es particularmente útil cuando migras certificados a Google Cloud.
El Administrador de certificados verifica la propiedad del dominio a través de los registros DNS. Cada autorización de DNS almacena información sobre el registro DNS y abarca un solo dominio y su comodín (por ejemplo, myorg.example.com y *.myorg.example.com).
Cuando creas un certificado administrado por Google, puedes usar una o más autorizaciones de DNS para el aprovisionamiento y la renovación de certificados. Si tienes varios certificados para un solo dominio, puedes usar la misma autorización de DNS para todos ellos. Sin embargo, tus autorizaciones de DNS deben abarcar todos los dominios que aparecen en el certificado. De lo contrario, no se podrán crear ni renovar los certificados.
Para configurar la autorización de DNS, debes agregar un registro CNAME a tu configuración de DNS. Este registro se usa para validar el subdominio en tu dominio de destino. El registro CNAME apunta a un dominio Google Cloud especial que el Administrador de certificados usa para verificar la propiedad de tu dominio. Cuando creas una autorización de DNS, el Administrador de certificados muestra este registro CNAME y verifica tu propiedad.
Recuerda que el registro CNAME también le otorga permiso al Administrador de certificados para aprovisionar y renovar certificados para el dominio de destino dentro de tu Google Cloud proyecto. Para revocar estos permisos, quita el registro CNAME de tu configuración de DNS.
Autorización de DNS por proyecto
La autorización de DNS por proyecto te permite administrar certificados de forma independiente en cada Google Cloud proyecto. Con la autorización de DNS por proyecto, el Administrador de certificados puede emitir y administrar certificados para cada proyecto por separado. Las autorizaciones y los certificados de DNS que se usan en un proyecto son independientes y no interactúan con artefactos de otros proyectos.
Para activar la autorización de DNS por proyecto, elige la opción PER_PROJECT_RECORD cuando crees una autorización de DNS. Luego, recibirás un registro CNAME único que incluye un subdominio y un objetivo específico para ese proyecto. Este registro CNAME se debe agregar a la zona del DNS del dominio relevante.
Compara la autorización del balanceador de cargas con la autorización de DNS
El Administrador de certificados te permite demostrar la propiedad de los dominios para los que deseas emitir certificados administrados por Google, como se describe en la siguiente tabla.
| Autorización del balanceador de cargas | Autorización de DNS | |
|---|---|---|
| Complejidad de la configuración | La autorización del balanceador de cargas no requiere pasos de configuración adicionales ni cambios en la configuración de tu DNS. | Requiere que crees una autorización de DNS y agregues su registro CNAME correspondiente a tu configuración de DNS. |
| Seguridad de red | Se debe poder acceder al balanceador de cargas de forma completa desde Internet en el puerto 443, incluida la configuración de DNS de todos los dominios que entrega el certificado. La autorización del balanceador de cargas no funciona con otras configuraciones. | Funciona con configuraciones muy complejas, como puertos distintos del 443 y capas de CDN frente al proxy de destino. |
| Velocidad de aprovisionamiento | Puedes aprovisionar certificados solo después de que el balanceador de cargas esté configurado por completo y entregue tráfico de red. | Puedes aprovisionar certificados con anticipación, antes de que el proxy de destino esté listo para entregar el tráfico de red. |
| Certificados comodín | No compatible | Admitido |
¿Qué sigue?
- Administra las autorizaciones de DNS
- Implementa un certificado global administrado por Google con autorización de balanceador de cargas
- Implementa un certificado administrado por Google global con autorización de DNS