ドメイン名、証明書と解析: GCP Cloud DNSとGoogleが管理する無料のSSL証明書を手で教えてください

ドメイン名を買ったり、サイトにアクセスしたりした友人は、多くの場合、様々な「解析記録」、「SSL証明書」、「HTTPS握手エラー」に苦しめられている。

伝統的な建立プロセスは、Aメーカーでドメイン名を購入し、Bメーカーに解析を依頼し、Cメーカーに無料の90日間SSL証明書を申請した。3ヶ月ごとに、墓のように感動的に証明書を更新しなければなりません。忘れたらユーザーがwebサイトにアクセスすると、「あなたの接続はプライベート接続ではありません」という血色のセキュリティ警告が表示され、webサイトのトラフィックが瞬時に崩壊します。

Google Cloud(GCP、Googleクラウド) の生態には、エレガントな究極のソリューションがあります

Cloud DNSを利用してドメイン名の解決を担当し、Googleが管理する無料のSSL証明書 (Google-managedssl気取り) と連携します

。

今日私たちは何のでたらめも拒否し、公式文書を暗記しない。ハンドルはあなたを連れて全プロセスを配置して、実現します

ドメイン名グローバル秒レベル解析、SSL証明書自動申請、永久無料かつ自動更新

インターネットの黄金の基礎。

第一段階: 深さ分解、DNS解析とSSL証明書の「潜在ルール」

キーボードを叩く前に、ドメイン名、解析、証明書の3つの間の物理的な世界モデルを頭の中で構築しなければならない。そうでなければ、後ろに配置すると必ず人形が気絶する。

ネットワークアクセス全体のライフサイクルは、次の2つのステップに分けられます

道を探す段階 (DNS解決): ユーザーはブラウザでwww.yourcompany.comを入力します。

。コンピューターは文字が読めないので、グーグルのCloud DNS権威サーバに「このドメイン名に対応するサーバIPはどれくらいですか」と聞かなければならない。DNSは帳簿をめくって、IP (例えば34.x. x.x) を返した。パソコンはIPを手に入れて、サーバーの家の入り口を見つけた。

検明正身段階 (SSL証明書): 家の入り口を見つけたので、パソコンはユーザーのパスワードやクレジットカード番号を直接伝えることができず、サーバーと暗号化しなければならない。サーバーはSSL証明書を取り出して、「私は確かにyourcompanyの公式で、ハッカーがなりすましたのではない」と証明した。双方が一気に協力して、HTTPS暗号化トンネルを引き上げて、データが安全に落ちる。

昔、この二つの段階は分断されていた。今日私たちが遊ぶ黒技術は

Googleクラウドのロードバランサーは、google認証局 (CA) に直接暗号を発行します

、この二歩を自動的にシームレスに溶接するのに役立ちます。

第二段階: 実戦演習一 -- ドメイン名の大後方をGCP Cloud DNSに移管する

あなたのドメイン名がGoDaddy、Namecheap、阿里雲で購入されたにもかかわらず、グーグルの世界的なバックボーンの秒レベルの解析の有効速度を楽しむために、私たちは解析権をグーグルに受け入れなければならない。

1.GCPにDNSゾーンを作成する

Ne)

GCPコンソールにログインし、左上のナビゲーションメニューで「ネットワークサービス」-> 「Cloud DNS」を見つけます。

上部の「ゾーンを作成」をクリックします。

パラメータ設定: エリアタイプ: 「公開 (Public) 」を選択します。地域名: my-company-zoneなど、あなたが理解できる名前を付けます。DNS名: あなたが外で買ったメインドメイン名を正確に入力します (例えば、yourcompany.com、wwwを持ってはいけません)。

作成をクリックします。

2.ドメイン名登録者に「権力引継棒」 (NS記録) を修正する

作成が成功すると、GCPはレコードリストにデフォルトで生成します

NS記録

、中には4つのgoogle公式のドメイン名サーバーのアドレスが含まれています。

Ns-cloud-a1.googledomains.com.

ずっと

A4

）

この4つの住所をコピーします。

ドメイン名を購入したサードパーティのバックグラウンドにログインし、「カスタムDNSサーバ」または「DNS変更」を見つけます。

中に入っていたサーバーのアドレスをすべて削除し、グーグルがあなたに与えた4つのアドレスを貼り付け、「保存」をクリックします。

大工場運送の内幕: この動作は「解析権委任」と呼ばれている。それ以来、全世界のユーザーはあなたのドメイン名を調べて、トラフィックは直接グーグルが全世界のDNSエッジノードに広がって、解析の有効速度は従来の数時間から数秒に短縮された。

第三段階: 実戦演習二 -- Google管理の無料SSL証明書をワンクリックで申請する

ドメイン名解析の基礎ができたので、次に、サイトに「グリーンセキュリティロック」を点灯させるSSL証明書を申請します。大工場の構造規範では、私たちは

証明書をあるvm仮想マシンに直接インストールしないでください

を選択します。

私たちは高度なネットワーク構成戦場に来て、外部HTTP(S) 負荷分散器のフロントエンドを構成します

ロードバランシングのページを検索し、外部アプリケーションのロードバランサの作成/編集をクリックします。

「フロントエンド構成」タブページに切り替えます。

プロトコル: ドロップダウンメニューでHTTPSを選択することを躊躇しません (注: HTTPSを選択した場合にのみ証明書をハングアップできます)。

IPアドレス: 事前に予約した静的な外部IPを選択することをお勧めします。

証明書: ドロップダウンメニューをクリックし、「新しい証明書を作成」を選択します。

コアパラメータ灌流: 名前: google-managed-ssl-cert。創

作成モード: 「Googleが管理する証明書を作成する」を選択します。ドメイン (Domains): 証明書をバインドするドメイン名を正確に入力します。メインドメイン名と二次ドメイン名を使用できるようにしたい場合は、1行目にyourcompany.com、2行目にwww.yourcompany.comを追加します。

「フロントエンド構成の作成と保存」をクリックします。

第四段階: 魂合体 ― A記録と証明書「現場を活性化する」を配置する

この時点で、ロードバランサはすでに構築されており、グローバルな静的ipも割り当てられている (仮定すると)。

35.201.x.x

) 、証明書も申請状態に入りました。しかし、この時点で証明書の状態を見ると、痛みが表示されます

プロビジョニング (構成中/検証待ち)

。

グーグル認証局 (CA) は証明書を発行する前に一度やらなければならないからです

所有権チャレンジ検証

: インターネットで調べなければなりません

Www.yourcompany.com

このドメイン名は今、googleクラウドのIPを指しているのか。もしそうでなければ、証明書の発行を拒否します。

だから、私たちはすぐに第二段階に行かなければなりません

Cloud DNS

このルートを完全に接続します。

Cloud DNSに戻り、以前に作成したドメイン名エリアに入るをクリックします。

「標準レコードセットを追加」をクリックすると、ドメインを解析できます。メインドメイン名を設定する場合は、空白のままにしますwwwの場合は、wwwと入力します。リソース記録タイプ: A記録を選択します。IPv4アドレス: あなたが先ほど負荷分散器で取得したグローバル静的ip (35.201.x.x) を正確に入力します。

作成をクリックします。

長くて興奮した「青信号」の待機期間

AレコードがCloud DNSで作成された瞬間、グーグルのCA機関は世界のプローブノードでこのレコードを取得する。

すべてがgoogle内で閉ループしているため、検証速度が非常に速い。約10分から20分待って、ロードバランサのフロントページを更新すると、証明書の状態が黄色から

プロビジョニング

緑になった

アクティブ (アクティブ)

。

ブラウザでhtを叩き込む

Tps: // www.yourcompany.com

、ページが一瞬にして開くと、アドレスバーの左側に完璧で、最高のセキュリティレベルを表す暗号化されたロックが現れた。証明書の詳細を見ると、発行機関は明らかに

Google信頼サービス

。

第五段階: 多国籍業務の枠組みの下でのピット血涙歴

この案が配置されていれば、グーグルが管理している証明書があるので、完全に首を切ることができます

期限が切れる前に

30日間、バックグラウンドで自動的にDNSリンクを介して更新されます

、あなたのロードバランサーとCloud DNSが削除されない限り、証明書は期限切れになりません。

しかし、実際の企業レベルの生産環境では、運送設計者は通常、次の2つの物理的防御配置を行い、完璧な期末回答を提出しなければならない

1.HTTPグローバルをHTTPSに強制的にリダイレクトする (ユーザーが道を間違えないようにする)

あなたはHTTPSを設定していますが、現実には多くの不注意なユーザーや古い友情リンクが通過します

エイチティー

Tp: // yourcompany.com

(Sなし) あなたのサイトにアクセスします。処理をしないと、ユーザーは安全でない平文のページを見たり、ロードバランサのエラーを直接見たりします。

ハードコア仕様操作: GCPロードバランサ構成では、HTTP 80ポートのみをリッスンする独立したフロントエンドを作成し、ルーティングルールで「高度なホスト、パス、リダイレクトルールを有効にする」をチェックしますこれを「301永続的なHTTPSへのリダイレクトを強制する」ように構成します。このように、道を間違えたトラフィックは、瞬時に強制的に暗号化された軌道に戻されます。

2.「マルチクライアント証明書ワイルドカード」の大きな穴を警戒する

グーグルが管理している無料の証明書には、次のような残念なことがあります

現在、ワイルドカードのドメイン名はサポートされていません。

。

これは、あなたの会社の業務が膨大であれば、将来は50の異なる二次ドメイン名を開設することを意味します (例:

Blog.

、

Shop.

、

Mail.

、

Api.

) 、証明書で世界を包むことはできません。

ピット解決法: Googleが管理する証明書は最大100ドメイン名のバインドをサポートしています。この50の二次ドメイン名をすべて増分として同じ証明書リストに記入できます。あるいは、面倒な場合は、自分で外でLet's Encryptでワイルドカード証明書を申請し、カスタム証明書をアップロードしてフロントエンドにマウントすることもできますしかし、自分でスクリプトを書いて更新を維持しなければなりません。ほとんどの企業に対して、googleがホストしている100人の定員は十分に浪費されている。

まとめ

GCP Cloud DNSとGoogle管理証明書を利用して駅を建てます。核心の精髄は8文字にあります。

内部ネットの閉ループを解析して、証明書はロックを管理します。

。非常に低いDNS解析費と完全無料の証明書福利厚生を使って、googleグローバル負荷分散器の分散エッジノードと協力して、午後の時間内に四半期ごとに手動で証明書を更新する不安に完全に別れを告げる。先はどんなに厳しいコンプライアンス監査に直面しても、大量のユーザーの同時訪問に直面しても、コンピュータの前に座って、泰山のように安定しています。