Cette page décrit le fonctionnement de l'autorisation de domaine avec les certificats gérés par Google. Cette page compare l'autorisation d'équilibreur de charge à l'autorisation DNS et explique comment le Gestionnaire de certificats vérifie la propriété du domaine à l'aide de chaque méthode.
Le gestionnaire de certificats vous permet de prouver que vous êtes propriétaire des domaines pour lesquels vous souhaitez délivrer des certificats gérés par Google de l'une des manières suivantes:
Autorisation de l'équilibreur de charge: déployez le certificat directement sur un équilibreur de charge compatible sans créer d'enregistrement DNS. Cette méthode est plus rapide à configurer, mais elle n'est pas compatible avec les certificats génériques ni les certificats régionaux. De plus, le Gestionnaire de certificats ne peut provisionner des certificats qu'après que l'équilibreur de charge a été entièrement configuré et qu'il traite le trafic réseau.
Autorisation DNS: déployez le certificat directement sur un équilibreur de charge compatible après avoir créé des enregistrements DNS dédiés pour valider la propriété du domaine. Grâce à cette méthode, le Gestionnaire de certificats peut provisionner des certificats à l'avance, avant que le proxy cible ne soit prêt à gérer le trafic réseau.
L'autorisation de domaine ne s'applique pas aux certificats gérés par Google émis par Certificate Authority Service. Pour en savoir plus sur ces certificats, consultez la page Déployer un certificat mondial géré par Google avec le service d'autorité de certification.
Autorisation d'équilibreur de charge
L'autorisation d'équilibreur de charge est la méthode la plus simple pour émettre un certificat géré par Google. Cette méthode réduit les modifications apportées à votre configuration DNS, mais ne provisionne le certificat TLS (SSL) qu'après la configuration de l'équilibreur de charge. Cette méthode rend également l'autorisation de l'équilibreur de charge idéale pour les nouveaux environnements sans trafic de production existant.
Pour créer des certificats gérés par Google avec une autorisation d'équilibreur de charge, votre déploiement doit répondre aux exigences suivantes:
- Le certificat géré par Google doit être accessible sur le port 443 à partir de toutes les adresses IP qui diffusent le domaine cible. Sinon, le provisionnement échoue. Par exemple, si vous disposez d'équilibreurs de charge distincts pour IPv4 et IPv6, vous devez attribuer le même certificat géré par Google à chacun d'eux.
- Vous devez spécifier explicitement les adresses IP de vos équilibreurs de charge dans votre configuration DNS, ce qui évite les échecs de validation de domaine multiperspective. Les couches intermédiaires, telles que les CDN, peuvent entraîner un comportement imprévisible.
- Le domaine cible doit pouvoir être résolu de manière ouverte depuis Internet. Les environnements fractionnés ou de pare-feu DNS peuvent interférer avec le provisionnement des certificats.
Autorisation DNS
L'autorisation DNS vous permet de vérifier la propriété du domaine et de provisionner des certificats gérés par Google avant même que votre environnement de production ne soit entièrement configuré. Cela est particulièrement utile lorsque vous migrez des certificats vers Google Cloud.
Le Gestionnaire de certificats vérifie la propriété du domaine via les enregistrements DNS. Chaque autorisation DNS stocke des informations sur l'enregistrement DNS et couvre un seul domaine et son caractère générique (par exemple, myorg.example.com et *.myorg.example.com).
Lorsque vous créez un certificat géré par Google, vous pouvez utiliser une ou plusieurs autorisations DNS pour le provisionnement et le renouvellement des certificats. Si vous disposez de plusieurs certificats pour un même domaine, vous pouvez utiliser la même autorisation DNS pour chacun d'eux. Toutefois, vos autorisations DNS doivent couvrir tous les domaines listés dans le certificat. Sinon, la création et le renouvellement des certificats échoueront.
Pour configurer l'autorisation DNS, vous devez ajouter un enregistrement CNAME à votre configuration DNS. Cet enregistrement permet de valider le sous-domaine de votre domaine cible. L'enregistrement CNAME pointe vers un domaine Google Cloud spécial utilisé par le Gestionnaire de certificats pour valider la propriété de votre domaine. Lorsque vous créez une autorisation DNS, le Gestionnaire de certificats renvoie cet enregistrement CNAME et vérifie votre propriété.
N'oubliez pas que l'enregistrement CNAME autorise également le gestionnaire de certificats à provisionner et à renouveler les certificats pour le domaine cible dans votre Google Cloud projet. Pour révoquer ces autorisations, supprimez l'enregistrement CNAME de votre configuration DNS.
Autorisation DNS par projet
L'autorisation DNS par projet vous permet de gérer les certificats indépendamment dans chaque projet Google Cloud . Grâce à l'autorisation DNS par projet, Certificate Manager peut émettre et gérer les certificats de chaque projet séparément. Les autorisations et les certificats DNS utilisés dans un projet sont autonomes et n'interagissent pas avec les artefacts d'autres projets.
Pour activer l'autorisation DNS par projet, choisissez l'option PER_PROJECT_RECORD lorsque vous créez une autorisation DNS. Vous recevrez ensuite un enregistrement CNAME unique qui inclut à la fois un sous-domaine et une cible spécifique à ce projet. Cet enregistrement CNAME doit être ajouté à la zone DNS du domaine concerné.
Comparer l'autorisation de l'équilibreur de charge à l'autorisation DNS
Le Gestionnaire de certificats vous permet de prouver la propriété des domaines pour lesquels vous souhaitez émettre des certificats gérés par Google, comme décrit dans le tableau suivant.
| Autorisation d'équilibreur de charge | Autorisation DNS | |
|---|---|---|
| Complexité de la configuration | L'autorisation de l'équilibreur de charge ne nécessite aucune étape de configuration ni modification de votre configuration DNS. | Vous devez créer une autorisation DNS et ajouter l'enregistrement CNAME correspondant à votre configuration DNS. |
| Sécurité du réseau | L'équilibreur de charge doit être entièrement accessible depuis Internet sur le port 443, y compris la configuration DNS pour tous les domaines diffusés par le certificat. L'autorisation d'équilibreur de charge ne fonctionne pas avec d'autres configurations. | Fonctionne avec des configurations très complexes, telles que des ports autres que 443 et des couches CDN devant le proxy cible. |
| Vitesse de provisionnement | Vous ne pouvez provisionner des certificats qu'une fois l'équilibreur de charge entièrement configuré et qu'il traite le trafic réseau. | Vous pouvez provisionner des certificats à l'avance, avant que le proxy cible ne soit prêt à diffuser le trafic réseau. |
| Certificats génériques | Non compatible | Compatible |
Étape suivante
- Gérer les autorisations DNS
- Déploiement d'un certificat géré par Google au niveau mondial avec autorisation d'équilibreur de charge
- Déployez un certificat géré par Google au niveau mondial avec une autorisation DNS.