Esta página descreve como a autorização de domínio funciona com certificados gerenciados pelo Google. A página compara a autorização do balanceador de carga com a autorização de DNS e explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
O Gerenciador de certificados permite provar a propriedade de domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
Autorização do balanceador de carga: implante o certificado diretamente em um balanceador de carga compatível sem criar um registro DNS. Esse método é mais rápido de configurar, mas não oferece suporte a certificados curinga ou regionais. Além disso, o Gerenciador de certificados só pode provisionar certificados depois que o balanceador de carga estiver totalmente configurado e veiculando tráfego de rede.
Autorização de DNS: implante o certificado diretamente em um balanceador de carga compatível depois de criar registros DNS dedicados para verificação da propriedade do domínio. Usando esse método, o Gerenciador de certificados pode provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para atender ao tráfego de rede.
A autorização de domínio não se aplica a certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Implantar um certificado global gerenciado pelo Google com o serviço de AC.
Autorização do balanceador de carga
A autorização do balanceador de carga é o método mais simples para emitir um certificado gerenciado pelo Google. Esse método minimiza as mudanças na configuração do DNS, mas só provisiona o certificado TLS (SSL) depois que a configuração do balanceador de carga é concluída. Esse método também torna a autorização do balanceador de carga ideal para novos ambientes sem tráfego de produção.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua implantação precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa ser acessível na porta 443 de todos os endereços IP que atendem o domínio de destino. Caso contrário, o provisionamento falha. Por exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será necessário atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- É necessário especificar explicitamente os endereços IP dos balanceadores de carga na configuração de DNS, o que evita falhas de validação de domínio em várias perspectivas. Camadas intermediárias, como CDN, podem causar um comportamento imprevisível.
- O domínio de destino precisa ser resolvido abertamente pela Internet. Ambientes de split horizon ou firewall de DNS podem interferir no provisionamento de certificados.
Autorização de DNS
Com a autorização de DNS, você pode verificar a propriedade do domínio e provisionar certificados gerenciados pelo Google antes mesmo de configurar totalmente o ambiente de produção. Isso é útil principalmente quando você está migrando certificados para Google Cloud.
O Gerenciador de certificados verifica a propriedade do domínio por meio de registros DNS. Cada autorização de DNS armazena informações sobre o registro DNS e abrange um único domínio e o curinga dele (por exemplo, myorg.example.com e *.myorg.example.com).
Ao criar um certificado gerenciado pelo Google, você pode usar uma ou mais autorizações de DNS para provisionamento e renovação de certificados. Se você tiver vários certificados para um único domínio, poderá usar a mesma autorização DNS para todos eles. No entanto, suas autorizações de DNS precisam abranger todos os domínios listados no certificado. Caso contrário, a criação e a renovação de certificados vão falhar.
Para configurar a autorização DNS, adicione um registro CNAME à configuração de DNS. Esse registro é usado para validar o subdomínio no seu domínio de destino. O registro CNAME aponta para um domínio Google Cloud especial que o Gerenciador de certificados usa para verificar a propriedade do domínio. Quando você cria uma autorização de DNS, o Certificate Manager retorna esse registro CNAME e verifica sua propriedade.
O registro CNAME também concede ao Gerenciador de certificados permissão para provisionar e renovar certificados do domínio de destino no projeto Google Cloud . Para revogar essas permissões, remova o registro CNAME da configuração de DNS.
Autorização de DNS por projeto
A autorização de DNS por projeto permite gerenciar certificados de forma independente em cada Google Cloud projeto. Com a autorização de DNS por projeto, o Certificate Manager pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados de DNS usados em um projeto são independentes e não interagem com artefatos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD ao criar uma autorização de DNS. Você vai receber um registro CNAME exclusivo que inclui um subdomínio e um destino específico para esse projeto. Esse registro CNAME precisa ser adicionado à zona DNS do domínio relevante.
Comparar a autorização do balanceador de carga com a autorização de DNS
O Gerenciador de certificados permite provar a propriedade dos domínios para os quais você quer emitir certificados gerenciados pelo Google, conforme descrito na tabela a seguir.
| Autorização do balanceador de carga | Autorização de DNS | |
|---|---|---|
| Complexidade da instalação | A autorização do balanceador de carga não exige etapas de configuração adicionais nem mudanças na configuração do DNS. | É necessário criar uma autorização de DNS e adicionar o registro CNAME correspondente à configuração de DNS. |
| Segurança de rede | O balanceador de carga precisa ser totalmente acessível pela Internet na porta 443, incluindo a configuração de DNS para todos os domínios atendidos pelo certificado. A autorização do balanceador de carga não funciona com outras configurações. | Funciona com configurações altamente complexas, como portas diferentes da 443 e camadas de CDN na frente do proxy de destino. |
| Velocidade de provisionamento | Só é possível provisionar certificados depois que o balanceador de carga estiver totalmente configurado e atendendo ao tráfego de rede. | É possível provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para atender ao tráfego de rede. |
| Certificados de caractere curinga | Sem suporte | Compatível |
A seguir
- Gerenciar autorizações de DNS
- Implantar um certificado global gerenciado pelo Google com autorização do balanceador de carga
- Implantar um certificado global gerenciado pelo Google com autorização de DNS