Google マネージド証明書のドメインの承認

このページでは、Google マネージド証明書に対するドメインの承認の仕組みについて説明します。ロードバランサの承認と DNS 認証を比較し、Certificate Manager が各メソッドを使用してドメインの所有権を確認します。

ドメインの承認は、Certificate Authority Service によって発行された Google マネージド証明書には適用されません。このような証明書の詳細については、Certificate Authority Service を使用して Google マネージド証明書をデプロイするをご覧ください。

Certificate Manager を使用すると、次のいずれかの方法で、Google マネージド証明書を発行するドメインの所有権を確認できます。

• ロードバランサの承認は迅速に構成できますが、ワイルドカード証明書はサポートしていません。また、証明書のプロビジョニングは、ロードバランサが完全に設定され、ネットワーク トラフィックの処理が行われるようになった後にのみ行えます。
• DNS 認証では、ドメイン所有権の証明のために専用の DNS レコードを追加で構成する必要がありますが、ターゲット プロキシがネットワーク トラフィックを処理できるようになる前に、証明書を事前にプロビジョニングできます。これにより、サードパーティ ソリューションから Google Cloudへのゼロ ダウンタイム移行が可能になります。

ロードバランサ認証

Google マネージド証明書を発行する最も簡単な方法は、ロードバランサ認証を使用することです。この方法では DNS 構成への変更を最小限に抑えますが、TLS（SSL）証明書はすべての構成手順が完了した後にのみプロビジョニングされます。そのため、この方法は、設定が完了するまで本番環境トラフィックが流れない環境をゼロから設定する場合に最適です。

ロードバランサ認証を使用して Google マネージド証明書を作成するには、デプロイが次の要件を満たしている必要があります。

• ターゲット ドメインにサービスを提供するすべての IP アドレスからポート 443 で Google マネージド証明書にアクセスできる必要があります。そうしないと、プロビジョニングは失敗します。たとえば、IPv4 と IPv6 に個別のロードバランサがある場合は、それぞれに同じ Google マネージド証明書を割り当てる必要があります。
• DNS 構成でロードバランサの IP アドレスを明示的に指定する必要があります。CDN などの中間レイヤは、予測できない動作を引き起こす可能性があります。
• ターゲット ドメインは、インターネットから公開的に解決できる必要があります。スプリット ホライズン環境または DNS ファイアウォール環境は、証明書のプロビジョニングと干渉する可能性があります。

DNS 認証

DNS 認証を使用すると、本番環境が完全に設定される前に、ドメインの所有権を確認して Google マネージド証明書をプロビジョニングできます。これは、証明書を Google Cloudに移行する場合に特に便利です。

Certificate Manager は DNS レコードを使用してドメインの所有権を確認します。各 DNS 承認には、DNS レコードに関する情報が保存され、単一のドメインとそのワイルドカード（myorg.example.com と *.myorg.example.com の両方など）に対応しています。

Google マネージド証明書を作成するときに、証明書のプロビジョニングと更新に 1 つ以上の DNS 認証を使用できます。1 つのドメインに複数の証明書がある場合は、それらすべてに同じ DNS 認証を使用できます。ただし、DNS 認証は証明書にリストされているすべてのドメインを対象とする必要があります。対象としていない場合、証明書の作成と更新は失敗します。

DNS 認証を設定するには、DNS 構成に CNAME レコードを追加する必要があります。このレコードは、ターゲット ドメインのサブドメインの検証に使用されます。CNAME レコードは、Certificate Manager がドメインの所有権の確認に使用する特別な Google Cloud ドメインを参照します。DNS 認証を作成すると、Certificate Manager はこの CNAME レコードを返して所有権を確認します。

CNAME レコードは、 Google Cloud プロジェクト内のターゲット ドメインの証明書のプロビジョニングと更新を行う権限も Certificate Manager に付与します。これらの権限を取り消すには、DNS 構成から CNAME レコードを削除します。

プロジェクトごとの DNS 認証

Google Cloud プロジェクトごとの DNS 認証を使用すると、各プロジェクト内で証明書を個別に管理できます。プロジェクトごとの DNS 認証を使用すると、Certificate Manager はプロジェクトごとに証明書を発行して処理できます。プロジェクト内で使用される DNS 認証と証明書は自己完結型であり、他のプロジェクトのアーティファクトとやり取りしません。

プロジェクトごとの DNS 認証を有効にするには、DNS 認証を作成するときに PER_PROJECT_RECORD オプションを選択します。その後、サブドメインとそのプロジェクト固有のターゲットの両方を含む一意の CNAME レコードが生成されます。この CNAME レコードは、関連するドメインの DNS ゾーンに追加する必要があります。

次のステップ

• DNS 認証を使用して Google マネージド証明書をデプロイする（チュートリアル）
• ロードバランサの承認で Google マネージド証明書をデプロイする（チュートリアル）
• CA Service で Google マネージド証明書をデプロイする（チュートリアル）
• セルフマネージド証明書をデプロイする（チュートリアル）
• 証明書を Certificate Manager に移行する
• 証明書を管理する
• 証明書マップを管理する
• 証明書マップエントリを管理する
• DNS 認証を管理する
• 証明書発行の構成を管理する