Cette page a été traduite par l'API Cloud Translation.

Déployer un certificat régional géré par Google avec Certificate Authority Service

Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat régional géré par Google avec CA Service vers un équilibreur de charge d'application externe régional ou vers un équilibreur de charge d'application interne régional.

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

Créez un certificat géré par Google avec CA Service à l'aide du gestionnaire de certificats.
Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement des certificats, consultez Présentation du déploiement

Avant de commencer

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Certificate Manager Owner (Propriétaire du gestionnaire de certificats) : obligatoire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute : rôle requis pour créer et gérer un proxy cible HTTPS.
- Administrateur du service CA: obligatoire pour effectuer des actions dans d'autorité de certification.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le Gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
- Autorisations et rôles pour le service CA
Remarque: Si les autorisations ou les rôles ne vous ont pas été attribués, contactez le Administrateur IAM disposant du rôle d'administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) pour demander les rôles manquants.
Activer l'API Certificate Manager
Activez l'API Service CA.
Créez un pool d'autorités de certification. Vous devez créer et activer au moins une autorité de certification dans ce pool d'autorités de certification.

Configurer l'intégration du service CA avec le Gestionnaire de certificats

Configurez le Gestionnaire de certificats pour l'intégrer au service CA comme suit :

Créer un compte de service de gestionnaire de certificats dans la cible Projet Google Cloud:
```
gcloud beta services identity create \
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID
```
Remplacez PROJECT_ID par l'ID du projet Google Cloud cible.

La commande renvoie le nom de l'identité de service créée, comme indiqué dans l'exemple suivant :

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

Accordez au compte de service Certificate Manager le rôle Demandeur de certificat CA Service dans le pool d'autorités de certification cible comme suit :
```
gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester
```
Remplacez les éléments suivants :
- CA_POOL : ID du pool d'autorités de certification cible.
- LOCATION : emplacement Google Cloud cible. Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.
- SERVICE_ACCOUNT: nom complet du compte de service que vous avez créées à l'étape 1.
Créez une ressource de configuration d'émission de certificats pour votre pool d'autorités de certification :
```
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM]
```
Remplacez les éléments suivants :
- ISSUANCE_CONFIG_NAME : nom unique de la ressource de configuration d'émission de certificats.
- CA_POOL: chemin d'accès complet à la ressource et nom de l'autorité de certification pool que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
- LOCATION: emplacement Google Cloud cible Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.
- CERTIFICATE_LIFETIME: durée de vie du certificat dans jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée standard. La valeur par défaut est de 30 jours (30D). Ce paramètre est facultatif.
- ROTATION_WINDOW_PERCENTAGE : pourcentage de la durée de vie du certificat au cours duquel un renouvellement est déclenché. La valeur par défaut est 66 pour cent. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat afin que le renouvellement du certificat se produise au moins sept jours après l'émission du certificat et au moins sept jours avant son expiration. Ce paramètre est facultatif.
- KEY_ALGORITHM : algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048. Ce paramètre est facultatif.

Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Gérer les configurations d'émission de certificats

Créer un certificat régional géré par Google

Créez un certificat régional géré par Google, délivré par votre Service CA utilisant la ressource de configuration d'émission de certificats créé à l'étape précédente:

Console

Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

Accéder au gestionnaire de certificats
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.

Ce nom doit être unique au projet.
Facultatif : saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Dans le champ Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez une région.
Dans Type de certificat, sélectionnez Créer un certificat géré par Google.
Dans le champ Type d'autorité de certification, sélectionnez Privé.
Spécifiez les noms de domaine du certificat. Saisissez des valeurs séparées par une virgule liste des domaines cibles. De plus, chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
Pour Certificate Issuance Config (Configuration d'émission de certificats), sélectionnez le nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.
Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.
Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Exécutez la commande ci-dessous.

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Remplacez les éléments suivants :

CERTIFICATE_NAME : nom unique du certificat.
DOMAIN_NAMES : liste des domaines cibles de ce certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, par exemple myorg.example.com.
ISSUANCE_CONFIG_NAME : nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.
LOCATION : emplacement Google Cloud cible. Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.

API

Créez le certificat en envoyant une requête POST à la méthode certificates.create comme suit :

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 },
}

Remplacez les éléments suivants :

PROJECT_ID : ID du projet Google Cloud cible.
LOCATION: emplacement Google Cloud cible Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.
CERTIFICATE_NAME : nom unique du certificat.
DOMAIN_NAME : domaine cible de ce certificat. Le nom de domaine doit être un nom de domaine complet, tel que example.com ou www.example.com.
ISSUANCE_CONFIG_NAME : nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.

Pour une présentation du processus de déploiement des certificats, consultez la section Déploiement présentation.

Vérifier que le certificat est actif

Utilisez la commande suivante pour vérifier que le certificat lui-même est actif avant de le déployer sur votre équilibreur de charge. Le passage de l'état du certificat à ACTIVE peut prendre plusieurs minutes.

gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

Remplacez les éléments suivants :

CERTIFICATE_NAME : nom unique du certificat.
LOCATION: emplacement Google Cloud cible Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.

La commande renvoie un résultat semblable à celui-ci:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
domains:
-   myorg.example.com
issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig
state: ACTIVE
name: projects/myproject/locations/mylocation/certificates/mycertificate
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  -   myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Déployer le certificat régional géré par Google sur un équilibreur de charge

Pour déployer le certificat régional géré par Google, créez un proxy HTTPS cible et associez-y le certificat.

Créer le proxy HTTPS cible

Pour créer le proxy cible HTTPS et joindre le certificat, exécutez la commande suivante :

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

PROXY_NAME: nom unique du proxy.
URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL. lors de la création de l'équilibreur de charge.
REGION: région dans laquelle vous créez le protocole HTTPS avec un proxy cible.
CERTIFICATE_NAME: nom du certificat.

Pour vérifier si le proxy cible est créé, exécutez la commande suivante :

gcloud compute target-https-proxies list

Créer une règle de transfert

Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge.

Si vous utilisez un équilibreur de charge d'application externe régional, Configurez un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
Si vous utilisez un équilibreur de charge d'application interne régional, Configurez un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, procédez comme suit :

Supprimez le certificat géré par Google :
Console
1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
  
  Accéder au Gestionnaire de certificats
2. Dans l'onglet Certificats, cochez la case du certificat.
3. Cliquez sur Supprimer.
4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
```
gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    --location=LOCATION
```
Remplacez les éléments suivants :
- CERTIFICATE_NAME: nom du certificat
- LOCATION : emplacement Google Cloud cible
Supprimez la ressource de configuration d'émission de certificats :
Console
1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
  
  Accéder au gestionnaire de certificats
2. Dans l'onglet Issuance Configs (Configurations d'émission), cochez la case configuration d'émission.
3. Cliquez sur Supprimer.
4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
```
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME \
    --location=LOCATION
```
Remplacez les éléments suivants :
- ISSUANCE_CONFIG_NAME : nom de la configuration d'émission
- LOCATION : emplacement Google Cloud cible
Supprimez le pool d'autorités de certification comme décrit dans la section Supprimer une autorité de certification. pool.

N'oubliez pas que pour désactiver la dernière autorité de certification que vous avez activée dans le pool d'autorités de certification référencé dans la ressource de configuration d'émission de certificats, ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer toutes les ressources de configuration d'émission de certificats qui font référence à ce pool d'autorités de certification.

Dépannage

Pour connaître les étapes de dépannage, consultez la section Problèmes liés aux certificats émis par Instance CA Service.

Déployer un certificat régional géré par Google avec Certificate Authority Service

Objectifs

Avant de commencer

Configurer l'intégration du service CA avec le Gestionnaire de certificats

Créer un certificat régional géré par Google

Console

gcloud

API

Vérifier que le certificat est actif

Déployer le certificat régional géré par Google sur un équilibreur de charge

Créer le proxy HTTPS cible

Créer une règle de transfert

Effectuer un nettoyage

Console

gcloud

Console

gcloud

Dépannage

Étape suivante