Halaman ini menjelaskan cara kerja otorisasi domain dengan sertifikat yang dikelola Google. Halaman ini membandingkan otorisasi load balancer dengan otorisasi DNS dan menjelaskan cara Pengelola Sertifikat memverifikasi kepemilikan domain menggunakan setiap metode.
Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikatnya ingin Anda terbitkan oleh Google dengan salah satu cara berikut:
Otorisasi load balancer: men-deploy sertifikat langsung ke load balancer yang didukung tanpa membuat data DNS. Metode ini lebih cepat dikonfigurasi, tetapi tidak mendukung sertifikat karakter pengganti atau sertifikat regional. Selain itu, Pengelola Sertifikat hanya dapat menyediakan sertifikat setelah load balancer disiapkan sepenuhnya dan menayangkan traffic jaringan.
Otorisasi DNS: deploy sertifikat langsung ke load balancer yang didukung setelah membuat data DNS khusus untuk verifikasi kepemilikan domain. Dengan menggunakan metode ini, Pengelola Sertifikat dapat menyediakan sertifikat terlebih dahulu, sebelum proxy target siap menyalurkan traffic jaringan.
Otorisasi domain tidak berlaku untuk sertifikat yang dikelola Google yang diterbitkan oleh Certificate Authority Service. Untuk informasi selengkapnya tentang sertifikat tersebut, lihat Men-deploy sertifikat global yang dikelola Google dengan Certificate Authority Service.
Otorisasi load balancer
Otorisasi load balancer adalah metode termudah untuk menerbitkan sertifikat yang dikelola Google. Metode ini meminimalkan perubahan pada konfigurasi DNS Anda, tetapi hanya menyediakan sertifikat TLS (SSL) setelah konfigurasi load balancer selesai. Metode ini juga membuat otorisasi load balancer ideal untuk lingkungan baru tanpa traffic produksi yang ada.
Untuk membuat sertifikat yang dikelola Google dengan otorisasi load balancer, deployment Anda harus memenuhi persyaratan berikut:
- Sertifikat yang dikelola Google harus dapat diakses di port 443 dari semua alamat IP yang menayangkan domain target. Jika tidak, penyediaan akan gagal. Misalnya, jika Anda memiliki load balancer terpisah untuk IPv4 dan IPv6, Anda harus menetapkan sertifikat yang dikelola Google yang sama ke setiap load balancer.
- Anda harus menentukan alamat IP load balancer secara eksplisit dalam konfigurasi DNS, yang mencegah kegagalan validasi domain multi-perspektif. Lapisan perantara, seperti CDN, dapat menyebabkan perilaku yang tidak dapat diprediksi.
- Domain target harus dapat di-resolve secara terbuka dari Internet. Lingkungan firewall DNS atau split-horizon dapat mengganggu penyediaan sertifikat.
Otorisasi DNS
Otorisasi DNS memungkinkan Anda memverifikasi kepemilikan domain dan menyediakan sertifikat yang dikelola Google bahkan sebelum lingkungan produksi disiapkan sepenuhnya. Hal ini sangat berguna saat Anda memigrasikan sertifikat ke Google Cloud.
Pengelola Sertifikat memverifikasi kepemilikan domain melalui data DNS. Setiap otorisasi DNS menyimpan informasi tentang data DNS, dan mencakup satu domain serta karakter penggantinya (misalnya, myorg.example.com dan *.myorg.example.com).
Saat membuat sertifikat yang dikelola Google, Anda dapat menggunakan satu atau beberapa otorisasi DNS untuk penyediaan dan perpanjangan sertifikat. Jika memiliki beberapa sertifikat untuk satu domain, Anda dapat menggunakan otorisasi DNS yang sama untuk semuanya. Namun, otorisasi DNS Anda harus mencakup semua domain yang tercantum dalam sertifikat; jika tidak, pembuatan dan perpanjangan sertifikat akan gagal.
Untuk menyiapkan otorisasi DNS, Anda harus menambahkan data CNAME ke konfigurasi DNS. Data ini digunakan untuk memvalidasi subdomain di domain target Anda. Data CNAME mengarah ke domain Google Cloud khusus yang digunakan Pengelola Sertifikat untuk memverifikasi kepemilikan domain Anda. Saat Anda membuat otorisasi DNS, Pengelola Sertifikat akan menampilkan data CNAME ini dan memverifikasi kepemilikan Anda.
Ingat, data CNAME juga memberi Pengelola Sertifikat izin untuk menyediakan dan memperpanjang sertifikat untuk domain target dalam Google Cloud project Anda. Untuk mencabut izin ini, hapus data CNAME dari konfigurasi DNS Anda.
Otorisasi DNS per project
Otorisasi DNS per project memungkinkan Anda mengelola sertifikat secara independen dalam setiap Google Cloud project. Dengan menggunakan otorisasi DNS per project, Pengelola Sertifikat dapat menerbitkan dan menangani sertifikat untuk setiap project secara terpisah. Otorisasi dan sertifikat DNS yang digunakan dalam project bersifat mandiri dan tidak berinteraksi dengan artefak dari project lain.
Untuk mengaktifkan otorisasi DNS per project, pilih opsi PER_PROJECT_RECORD saat membuat otorisasi DNS. Kemudian, Anda akan menerima data CNAME unik yang menyertakan subdomain dan target khusus untuk project tersebut. Data CNAME ini harus ditambahkan ke zona DNS domain yang relevan.
Membandingkan otorisasi load balancer dengan otorisasi DNS
Pengelola Sertifikat memungkinkan Anda membuktikan kepemilikan domain yang sertifikatnya ingin Anda terbitkan dan dikelola Google seperti yang dijelaskan dalam tabel berikut.
| Otorisasi load balancer | Otorisasi DNS | |
|---|---|---|
| Kompleksitas penyiapan | Otorisasi load balancer tidak memerlukan langkah konfigurasi tambahan atau perubahan pada konfigurasi DNS Anda. | Memerlukan Anda untuk membuat otorisasi DNS dan menambahkan data CNAME yang sesuai ke konfigurasi DNS. |
| Keamanan jaringan | Load balancer harus dapat diakses sepenuhnya dari internet di port 443, termasuk konfigurasi DNS untuk semua domain yang ditayangkan oleh sertifikat. Otorisasi load balancer tidak berfungsi dengan konfigurasi lain. | Berfungsi dengan konfigurasi yang sangat kompleks, seperti port selain 443 dan lapisan CDN di depan proxy target. |
| Kecepatan penyediaan | Anda hanya dapat menyediakan sertifikat setelah load balancer disiapkan sepenuhnya dan melayani traffic jaringan. | Anda dapat menyediakan sertifikat terlebih dahulu, sebelum proxy target siap menyalurkan traffic jaringan. |
| Sertifikat karakter pengganti | Tidak didukung | Didukung |
Langkah berikutnya
- Mengelola otorisasi DNS
- Men-deploy sertifikat global yang dikelola Google dengan otorisasi load balancer
- Men-deploy sertifikat global yang dikelola Google dengan otorisasi DNS