Déployer un certificat régional géré par Google avec Certificate Authority Service

Configurer l'intégration de CA Service au gestionnaire de certificats

Configurez le gestionnaire de certificats pour l'intégrer au service d'autorité de certification comme suit:

1. Créez un compte de service du gestionnaire de certificats dans le projet Google Cloud cible:

   gcloud beta services identity create \
       --service=certificatemanager.googleapis.com \
       --project=PROJECT_ID
   

   Remplacez PROJECT_ID par l'ID du projet Google Cloud cible.

La commande renvoie le nom de l'identité de service créée, comme illustré dans l'exemple suivant:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

1. Attribuez au compte de service du gestionnaire de certificats le rôle Demandeur de certificat du service CA dans le pool d'autorités de certification cible comme suit:

   gcloud privateca pools add-iam-policy-binding CA_POOL \
       --location LOCATION \
       --member "serviceAccount:SERVICE_ACCOUNT" \
       --role roles/privateca.certificateRequester
   

   Remplacez les éléments suivants :

   • CA_POOL: ID du pool d'autorités de certification cible.
   • LOCATION: emplacement Google Cloud cible. Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.
   • SERVICE_ACCOUNT: nom complet du compte de service que vous avez créé à l'étape 1.

2. Créez une ressource de configuration d'émission de certificats pour votre pool d'autorités de certification:

   gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
       --ca-pool=CA_POOL \
       --location=LOCATION> \
       [--lifetime=CERTIFICATE_LIFETIME] \
       [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
       [--key-algorithm=KEY_ALGORITHM]
   

   Remplacez les éléments suivants :

   • ISSUANCE_CONFIG_NAME: nom unique de la ressource de configuration d'émission de certificats.
   • CA_POOL: chemin d'accès complet à la ressource et nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
   • LOCATION: emplacement Google Cloud cible. Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.
   • CERTIFICATE_LIFETIME: durée de vie du certificat, en jours. Les valeurs valides sont comprises entre 21 et 30 jours selon le format de durée standard. La valeur par défaut est de 30 jours (30D). Ce paramètre est facultatif.
   • ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie du certificat à partir duquel un renouvellement se déclenche. La valeur par défaut est de 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat, de sorte que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration. Ce paramètre est facultatif.
   • KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048. Ce paramètre est facultatif.

Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Gérer les configurations d'émission de certificats.

Créer un certificat régional géré par Google

Créez un certificat régional géré par Google, émis par votre service d'autorité de certification, à l'aide de la ressource de configuration d'émission de certificats créée à l'étape précédente:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 },
}

Pour en savoir plus sur le processus de déploiement de certificats, consultez la section Présentation du déploiement.

Vérifier que le certificat est actif

Utilisez la commande suivante pour vérifier que le certificat lui-même est actif avant de le déployer sur votre équilibreur de charge. Le passage de l'état du certificat à ACTIVE peut prendre plusieurs minutes.

gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

Remplacez les éléments suivants :

• CERTIFICATE_NAME: nom unique du certificat.
• LOCATION: emplacement Google Cloud cible. Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.

La commande renvoie un résultat semblable à celui-ci:

certificatePem: myPEM
createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
domains:
-   myorg.example.com
issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig
state: ACTIVE
name: projects/myproject/locations/mylocation/certificates/mycertificate
scope: myScope
subjectAlternativeNames:- - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Déployer le certificat régional géré par Google sur un équilibreur de charge

Pour déployer le certificat régional géré par Google, créez un proxy HTTPS cible et associez-y le certificat.

Créer le proxy HTTPS cible

Pour créer le proxy HTTPS cible et lui associer le certificat, exécutez la commande suivante:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

• PROXY_NAME: nom unique du proxy.
• URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.
• REGION: région dans laquelle vous créez le proxy cible HTTPS.
• CERTIFICATE_NAME: nom du certificat.

Pour vérifier si le proxy cible a bien été créé, exécutez la commande suivante:

gcloud compute list target-https-proxies

Créer une règle de transfert

Définissez une règle de transfert et terminez la configuration de l'équilibreur de charge.

• Si vous utilisez un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
• Si vous utilisez un équilibreur de charge d'application interne régional, consultez la page Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Effectuer un nettoyage

Pour annuler les modifications effectuées dans ce tutoriel, procédez comme suit:

1. Supprimez le certificat géré par Google:

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
       --location=LOCATION
   

Remplacez les éléments suivants :

• CERTIFICATE_NAME: nom du certificat
• LOCATION: emplacement Google Cloud cible

1. Supprimez la ressource de configuration d'émission de certificats:

   gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
       --location=LOCATION
   

Remplacez les éléments suivants :

• CERTIFICATE_NAME: nom du certificat
• LOCATION: emplacement Google Cloud cible

1. Supprimez le pool d'autorités de certification comme décrit dans la section Supprimer un pool d'autorités de certification.

   N'oubliez pas que pour désactiver la dernière autorité de certification activée dans le pool d'autorités de certification référencé dans la ressource de configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer toutes les ressources de configuration d'émission de certificats qui font référence à ce pool.

Dépannage

Pour connaître les étapes de dépannage, consultez la section Problèmes liés aux certificats émis par une instance de service CA.