Google 管理的证书的网域授权类型

本页介绍了域名授权如何与 Google 管理的证书搭配使用。该页面比较了负载均衡器授权与 DNS 授权,并说明了 Certificate Manager 如何使用每种方法验证域名所有权。

借助 Certificate Manager,您可以通过以下任一方式证明您要为哪些网域颁发 Google 管理的证书:

  • 负载均衡器授权:直接将证书部署到受支持的负载均衡器,而无需创建 DNS 记录。此方法的配置速度更快,但不支持通配符证书或地区证书。此外,只有在负载均衡器已完全设置并正在处理网络流量后,Certificate Manager 才能预配证书。

  • DNS 授权:创建专用 DNS 记录以验证网域所有权后,将证书直接部署到受支持的负载平衡器。使用此方法,Certificate Manager 可以在目标代理准备好处理网络流量之前预先预配证书。

网域授权不适用于 Certificate Authority Service 颁发的 Google 管理的证书。如需详细了解此类证书,请参阅使用 Certificate Authority Service 部署全球 Google 管理的证书

负载均衡器授权

负载平衡器授权是颁发 Google 管理的证书的最简单方法。此方法可最大限度地减少对 DNS 配置的更改,但仅在负载均衡器配置完成后预配 TLS (SSL) 证书。这种方法还使负载均衡器授权非常适合没有现有生产流量的新环境。

如需创建具有负载均衡器授权的 Google 代管证书,您的部署必须满足以下要求:

  • 必须能够通过端口 443 从为目标网域提供服务的所有 IP 地址访问 Google 管理的证书;否则,配置会失败。例如,如果您为 IPv4 和 IPv6 使用了单独的负载平衡器,则必须为它们分别分配相同的 Google 管理的证书。
  • 您必须在 DNS 配置中明确指定负载平衡器的 IP 地址,以防止多视角网域验证失败。中间层(例如 CDN)可能会导致不可预测的行为。
  • 目标网域必须可从互联网公开解析。水平分割或 DNS 防火墙环境可能会干扰证书预配。

DNS 授权

借助 DNS 授权,您无需等到生产环境完全设置完毕,即可验证域名所有权并预配 Google 管理的证书。当您将证书迁移到 Google Cloud时,这尤其有用。

证书管理器会通过 DNS 记录验证域名所有权。每个 DNS 授权都会存储 DNS 记录的相关信息,并涵盖单个网域及其通配符(例如 myorg.example.com*.myorg.example.com)。通配符仅涵盖第一级子网域,不涵盖更深层级的子网域。例如,*.myorg.example.com 不涵盖 sub.subdomain.myorg.example.com

创建 Google 管理的证书时,您可以使用一个或多个 DNS 授权来预配和续订证书。如果您为单个网域拥有多个证书,则可以对所有证书使用相同的 DNS 授权。不过,您的 DNS 授权必须涵盖证书中列出的所有网域;如果不涵盖,证书的创建和续期将会失败。

如需设置 DNS 授权,您必须将 CNAME 记录添加到 DNS 配置中。您可以使用此记录来验证目标网域下的子网域。CNAME 记录指向一个特殊的 Google Cloud 网域,Certificate Manager 会使用该网域来验证您的域名所有权。创建 DNS 授权后,Certificate Manager 会返回此 CNAME 记录并验证您的所有权。

请注意,CNAME 记录还会授予 Certificate Manager 为Google Cloud 项目中的目标网域预配和续订证书的权限。如需撤消这些权限,请从 DNS 配置中移除 CNAME 记录。

按项目授权

借助按项目授权,您可以在每个 Google Cloud 项目中独立管理证书。使用按项目 DNS 授权,证书管理器可以为每个项目单独颁发和处理证书。项目中使用的 DNS 授权和证书是自包含的,不会与其他项目的工件互动。

如需启用按项目的 DNS 授权,请在创建 DNS 授权时选择 PER_PROJECT_RECORD 选项。然后,您会收到一个唯一的 CNAME 记录,其中包含特定于该项目的子网域和目标。您应将此 CNAME 记录添加到相关网域的 DNS 区域。

比较负载均衡器授权与 DNS 授权

借助证书管理工具,您可以证明您要为哪些网域颁发 Google 管理的证书(如下表所述)。

负载均衡器授权 DNS 授权
设置复杂性 负载平衡器授权不需要额外的配置步骤,也不需要更改 DNS 配置。 需要您创建 DNS 授权,并将其相应的 CNAME 记录添加到 DNS 配置中。
网络安全 负载均衡器必须通过端口 443 从互联网完全可访问,包括证书所提供的所有网域的 DNS 配置。负载平衡器授权不适用于其他配置。 适用于高度复杂的配置,例如 443 以外的端口以及目标代理之前的 CDN 层。
配置速度 只有在负载均衡器完全设置并处理网络流量后,您才能预配证书。 您可以在目标代理准备好处理网络流量之前预先预配证书。
通配符证书 不支持 支持

后续步骤