Questa pagina descrive come funziona l'autorizzazione del dominio con i certificati gestiti da Google. La pagina mette a confronto l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS e spiega in che modo Certificate Manager verifica la proprietà del dominio utilizzando ciascun metodo.
Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google in uno dei seguenti modi:
Autorizzazione del bilanciatore del carico: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato senza creare un record DNS. Questo metodo è più rapido da configurare, ma non supporta i certificati con caratteri jolly o regionali. Inoltre, Certificate Manager può eseguire il provisioning dei certificati solo dopo che il bilanciatore del carico è stato configurato completamente e gestisce il traffico di rete.
Autorizzazione DNS: esegui il deployment del certificato direttamente su un bilanciatore del carico supportato dopo aver creato record DNS dedicati per la verifica della proprietà del dominio. Con questo metodo, Certificate Manager può eseguire il provisioning dei certificati in anticipo, prima che il proxy di destinazione sia pronto per gestire il traffico di rete.
L'autorizzazione del dominio non si applica ai certificati gestiti da Google emessi dal servizio Certificate Authority. Per ulteriori informazioni su questi certificati, consulta Eseguire il deployment di un certificato gestito da Google a livello globale con il servizio Certificate Authority.
Autorizzazione bilanciatore del carico
L'autorizzazione del bilanciatore del carico è il metodo più semplice per emettere un certificato gestito da Google. Questo metodo riduce al minimo le modifiche alla configurazione DNS, ma fornisce il certificato TLS (SSL) solo al termine della configurazione del bilanciatore del carico. Questo metodo rende l'autorizzazione del bilanciatore del carico ideale anche per i nuovi ambienti senza traffico di produzione esistente.
Per creare certificati gestiti da Google con autorizzazione del bilanciatore del carico, il tuo deployment deve soddisfare i seguenti requisiti:
- Il certificato gestito da Google deve essere accessibile sulla porta 443 da tutti gli indirizzi IP che pubblicano il dominio di destinazione. In caso contrario, il provisioning non va a buon fine. Ad esempio, se hai bilanciatori del carico separati per IPv4 e IPv6, devi assegnare lo stesso certificato gestito da Google a ciascuno di essi.
- Devi specificare esplicitamente gli indirizzi IP dei bilanciatori del carico nella configurazione DNS, in modo da evitare errori di convalida del dominio da più punti di vista. I livelli intermedi, come le CDN, possono causare comportamenti imprevedibili.
- Il dominio di destinazione deve essere risolvibile apertamente da internet. Gli ambienti con firewall DNS o con suddivisione orizzontale possono interferire con il provisioning dei certificati.
Autorizzazione DNS
L'autorizzazione DNS ti consente di verificare la proprietà del dominio e di eseguire il provisioning dei certificati gestiti da Google anche prima che l'ambiente di produzione sia completamente configurato. Questa opzione è particolarmente utile quando esegui la migrazione dei certificati a Google Cloud.
Certificate Manager verifica la proprietà del dominio tramite i record DNS. Ogni autorizzazione DNS memorizza informazioni sul record DNS e copre un singolo dominio e il relativo jolly (ad esempio, sia myorg.example.com che *.myorg.example.com).
Quando crei un certificato gestito da Google, puoi utilizzare una o più autorizzazioni DNS per il provisioning e il rinnovo dei certificati. Se hai più certificati per un singolo dominio, puoi utilizzare la stessa autorizzazione DNS per tutti. Tuttavia, le autorizzazioni DNS devono coprire tutti i domini elencati nel certificato. In caso contrario, la creazione e il rinnovo dei certificati non andranno a buon fine.
Per configurare l'autorizzazione DNS, devi aggiungere un record CNAME alla configurazione DNS. Questo record viene utilizzato per convalidare il sottodominio nel dominio di destinazione. Il record CNAME rimanda a un dominio Google Cloud speciale utilizzato da Certificate Manager per verificare la proprietà del tuo dominio. Quando crei un'autorizzazione DNS, Certificate Manager restituisce questo record CNAME e verifica la tua proprietà.
Ricorda che il record CNAME concede a Certificate Manager l'autorizzazione per eseguire il provisioning e il rinnovo dei certificati per il dominio di destinazione all'interno del tuo Google Cloud progetto. Per revocare queste autorizzazioni, rimuovi il record CNAME dalla configurazione DNS.
Autorizzazione DNS per progetto
L'autorizzazione DNS per progetto ti consente di gestire i certificati in modo indipendente all'interno di ogni Google Cloud progetto. Utilizzando l'autorizzazione DNS per progetto, Certificate Manager può emettere e gestire i certificati per ogni progetto separatamente. Le autorizzazioni e i certificati DNS utilizzati all'interno di un progetto sono autocontenuti e non interagiscono con gli elementi di altri progetti.
Per attivare l'autorizzazione DNS per progetto, scegli l'opzione PER_PROJECT_RECORD quando crei un'autorizzazione DNS. Riceverai un record CNAME univoco che include sia un sottodominio sia un target specifico per il progetto. Questo record CNAME deve essere aggiunto alla zona DNS del dominio pertinente.
Confrontare l'autorizzazione del bilanciatore del carico con l'autorizzazione DNS
Certificate Manager ti consente di dimostrare la proprietà dei domini per i quali vuoi emettere certificati gestiti da Google, come descritto nella tabella seguente.
| Autorizzazione bilanciatore del carico | Autorizzazione DNS | |
|---|---|---|
| Complessità di configurazione | L'autorizzazione del bilanciatore del carico non richiede passaggi di configurazione aggiuntivi o modifiche alla configurazione DNS. | Richiede la creazione di un'autorizzazione DNS e l'aggiunta del corrispondente record CNAME alla configurazione DNS. |
| Sicurezza della rete | Il bilanciatore del carico deve essere completamente accessibile da internet sulla porta 443, inclusa la configurazione DNS per tutti i domini pubblicati dal certificato. L'autorizzazione del bilanciatore del carico non funziona con altre configurazioni. | Funziona con configurazioni altamente complesse, ad esempio porte diverse da 443 e livelli CDN davanti al proxy di destinazione. |
| Velocità di provisioning | Puoi eseguire il provisioning dei certificati solo dopo che il bilanciatore del carico è stato completamente configurato e gestisce il traffico di rete. | Puoi eseguire il provisioning dei certificati in anticipo, prima che il proxy di destinazione sia pronto per gestire il traffico di rete. |
| Certificati jolly | Non supportata | Supportato |
Passaggi successivi
- Gestire le autorizzazioni DNS
- Esegui il deployment di un certificato gestito da Google globale con autorizzazione per il bilanciatore del carico
- Eseguire il deployment di un certificato globale gestito da Google con autorizzazione DNS