Esta página descreve como a autorização de domínio funciona com certificados gerenciados pelo Google. A página compara a autorização do balanceador de carga com a autorização de DNS e explica como o Gerenciador de certificados verifica a propriedade do domínio usando cada método.
O Gerenciador de certificados permite provar a propriedade de domínios para os quais você quer emitir certificados gerenciados pelo Google de uma das seguintes maneiras:
Autorização do balanceador de carga: implante o certificado diretamente em um balanceador de carga compatível sem criar um registro DNS. Esse método é mais rápido de configurar, mas não oferece suporte a certificados curinga ou regionais. Além disso, o Gerenciador de certificados só pode provisionar certificados depois que o balanceador de carga estiver totalmente configurado e veiculando tráfego de rede.
Autorização de DNS: implante o certificado diretamente em um balanceador de carga com suporte depois de criar registros DNS dedicados para verificação da propriedade do domínio. Usando esse método, o Gerenciador de certificados pode provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para atender ao tráfego de rede.
A autorização de domínio não se aplica a certificados gerenciados pelo Google emitidos pelo Certificate Authority Service. Para mais informações sobre esses certificados, consulte Implantar um certificado global gerenciado pelo Google com o serviço de AC.
Autorização do balanceador de carga
A autorização do balanceador de carga é o método mais simples para emitir um certificado gerenciado pelo Google. Esse método minimiza as mudanças na configuração do DNS, mas só provisiona o certificado TLS (SSL) depois que a configuração do balanceador de carga é concluída. Esse método também torna a autorização do balanceador de carga ideal para novos ambientes sem tráfego de produção.
Para criar certificados gerenciados pelo Google com autorização do balanceador de carga, sua implantação precisa atender aos seguintes requisitos:
- O certificado gerenciado pelo Google precisa ser acessível na porta 443 de todos os endereços IP que atendem o domínio de destino. Caso contrário, o provisionamento falha. Por exemplo, se você tiver balanceadores de carga separados para IPv4 e IPv6, será necessário atribuir o mesmo certificado gerenciado pelo Google a cada um deles.
- É necessário especificar explicitamente os endereços IP dos balanceadores de carga na configuração de DNS, o que evita falhas de validação de domínio de várias perspectivas. Camadas intermediárias, como CDN, podem causar um comportamento imprevisível.
- O domínio de destino precisa ser resolvido abertamente pela Internet. Ambientes de split horizon ou firewall de DNS podem interferir no provisionamento de certificados.
Autorização de DNS
A autorização de DNS permite verificar a propriedade do domínio e provisionar certificados gerenciados pelo Google antes mesmo de configurar totalmente o ambiente de produção. Isso é particularmente útil quando você está migrando certificados para Google Cloud.
O Gerenciador de certificados verifica a propriedade do domínio por meio de registros
DNS. Cada autorização de DNS armazena informações sobre um registro DNS e
abrange um único domínio e o curinga dele (por exemplo, myorg.example.com
e *.myorg.example.com). Um curinga abrange apenas o primeiro nível de subdomínio e
não abrange níveis de subdomínio mais profundos. Por exemplo, *.myorg.example.com não abrange
sub.subdomain.myorg.example.com.
Ao criar um certificado gerenciado pelo Google, você pode usar uma ou mais autorizações de DNS para provisionar e renovar certificados. Se você tiver vários certificados para um único domínio, poderá usar a mesma autorização de DNS para todos os certificados. No entanto, suas autorizações de DNS precisam abranger todos os domínios listados no certificado. Caso contrário, a criação e a renovação de certificados vão falhar.
Para configurar a autorização de DNS, adicione um registro CNAME à configuração
de DNS. Você pode usar esse registro para validar o subdomínio no seu
domínio de destino. O registro CNAME aponta para um domínio Google Cloud especial
que o Gerenciador de certificados usa para verificar a propriedade do domínio.
Quando você cria uma autorização de DNS, o Gerenciador de certificados retorna
este registro CNAME e verifica sua propriedade.
O registro CNAME também concede ao Certificate Manager
a permissão para provisionar e renovar certificados para o domínio de destino no projeto
Google Cloud . Para revogar essas permissões, remova o registro CNAME
da configuração de DNS.
Autorização de DNS por projeto
A autorização de DNS por projeto permite gerenciar certificados de forma independente em cada projeto Google Cloud . Usando a autorização de DNS por projeto, o Certificate Manager pode emitir e processar certificados para cada projeto separadamente. As autorizações e os certificados do DNS usados em um projeto são independentes e não interagem com artefatos de outros projetos.
Para ativar a autorização de DNS por projeto, escolha a opção PER_PROJECT_RECORD
ao criar uma autorização de DNS. Você vai receber um registro CNAME exclusivo que inclui um subdomínio e um destino específico para esse projeto.
Adicione esse registro CNAME à zona de DNS do domínio relevante.
Comparar a autorização do balanceador de carga com a autorização de DNS
O Gerenciador de certificados permite provar a propriedade dos domínios para os quais você quer emitir certificados gerenciados pelo Google, conforme descrito na tabela a seguir.
| Autorização do balanceador de carga | Autorização de DNS | |
|---|---|---|
| Complexidade da instalação | A autorização do balanceador de carga não exige etapas de configuração adicionais nem mudanças na configuração do DNS. | É necessário criar uma autorização de DNS e adicionar o registro CNAME correspondente à configuração de DNS. |
| Segurança de rede | O balanceador de carga precisa ser totalmente acessível pela Internet na porta 443, incluindo a configuração de DNS para todos os domínios atendidos pelo certificado. A autorização do balanceador de carga não funciona com outras configurações. | Funciona com configurações altamente complexas, como portas diferentes da 443 e camadas de CDN na frente do proxy de destino. |
| Velocidade de provisionamento | Só é possível provisionar certificados depois que o balanceador de carga estiver totalmente configurado e atendendo ao tráfego de rede. | É possível provisionar certificados com antecedência, antes que o proxy de destino esteja pronto para atender ao tráfego de rede. |
| Certificados de caractere curinga | Sem suporte | Com suporte |
A seguir
- Gerenciar autorizações de DNS
- Implantar um certificado global gerenciado pelo Google com autorização do balanceador de carga
- Implantar um certificado global gerenciado pelo Google com autorização de DNS