Implante um certificado regional gerenciado pelo Google com o Certificate Authority Service

Configurar a integração do CA Service com o Gerenciador de certificados

Configurar o Gerenciador de certificados para integração CA Service da seguinte forma:

1. Crie uma conta de serviço do Gerenciador de certificados no destino Projeto do Google Cloud:

   gcloud beta services identity create \
       --service=certificatemanager.googleapis.com \
       --project=PROJECT_ID
   

   Substitua PROJECT_ID pelo ID do destino. projeto do Google Cloud.

O comando retorna o nome da identidade de serviço criada, conforme mostrado no exemplo a seguir:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

1. Conceda à conta de serviço do Gerenciador de certificados o papel de solicitante de certificado de serviço de CA no pool de CAs de destino da seguinte maneira:

   gcloud privateca pools add-iam-policy-binding CA_POOL \
       --location LOCATION \
       --member "serviceAccount:SERVICE_ACCOUNT" \
       --role roles/privateca.certificateRequester
   

   Substitua:

   • CA_POOL: o ID do pool de ACs de destino.
   • LOCATION: o local de destino do Google Cloud. Você especificar o mesmo local do pool de ACs, da emissão de certificados recurso de configuração e certificado gerenciado.
   • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na primeira etapa.

2. Crie um recurso de configuração de emissão de certificados para o pool de AC:

   gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
       --ca-pool=CA_POOL \
       --location=LOCATION> \
       [--lifetime=CERTIFICATE_LIFETIME] \
       [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
       [--key-algorithm=KEY_ALGORITHM]
   

   Substitua:

   • ISSUANCE_CONFIG_NAME: o nome exclusivo do de configuração da emissão de certificados.
   • CA_POOL: o caminho completo do recurso e o nome da AC. pool que você quer atribuir a este recurso de configuração de emissão de certificados.
   • LOCATION: o local de destino do Google Cloud. Você especificar o mesmo local do pool de ACs, da emissão de certificados recurso de configuração e certificado gerenciado.
   • CERTIFICATE_LIFETIME: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias. (30D). Essa configuração é opcional.
   • ROTATION_WINDOW_PERCENTAGE: a porcentagem ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66 de 100%. Você deve definir a porcentagem da janela de rotação em relação à ciclo de vida do certificado para que a renovação ocorra por pelo menos sete dias após a emissão do certificado e pelo menos sete dias antes dele expira. Essa configuração é opcional.
   • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048. Essa configuração é opcional.

Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar configurações de emissão de certificados.

Criar um certificado regional gerenciado pelo Google

Criar um certificado regional gerenciado pelo Google emitido pela sua CA Service usando o recurso de configuração de emissão de certificados criado na etapa anterior:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 },
}

Para uma visão geral do processo de implantação do certificado, consulte Implantação geral.

Verificar se o certificado está ativo

Use o comando a seguir para verificar se o próprio certificado está ativo antes de implantá-lo no balanceador de carga. Pode levar vários minutos para que o estado do certificado seja alterado para ACTIVE.

gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

Substitua:

• CERTIFICATE_NAME: um nome exclusivo do certificado.
• LOCATION: o local de destino do Google Cloud. Você especificar o mesmo local do pool de ACs, da emissão de certificados recurso de configuração e certificado gerenciado.

O comando retorna uma saída semelhante a esta:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
domains:
-   myorg.example.com
issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig
state: ACTIVE
name: projects/myproject/locations/mylocation/certificates/mycertificate
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  -   myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Implantar o certificado regional gerenciado pelo Google em um balanceador de carga

Para implantar o certificado regional gerenciado pelo Google, crie um proxy de destino HTTPS e anexar o certificado a ele.

Criar o proxy de destino HTTPS

Para criar o proxy de destino HTTPS e anexar o certificado, execute o seguinte: comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Substitua:

• PROXY_NAME: um nome exclusivo do proxy.
• URL_MAP: o nome do mapa de URL. Você criou o mapa de URLs quando você criou o balanceador de carga.
• REGION: a região onde você está criando o HTTPS. proxy de destino.
• CERTIFICATE_NAME: o nome do certificado.

Para verificar se o proxy de destino foi criado, execute o seguinte comando:

gcloud compute target-https-proxies list

Criar uma regra de encaminhamento

Defina uma regra de encaminhamento e conclua a configuração do balanceador de carga.

• Se você estiver usando um balanceador de carga de aplicativo externo regional, consulte Configurar um balanceador de carga de aplicativo externo regional com back-ends de grupos de instâncias de VM.
• Se você estiver usando um balanceador de carga de aplicativo interno regional, consulte Configure um balanceador de carga de aplicativo interno regional com back-ends de grupos de instâncias de VM.

Limpar

Para reverter as alterações feitas neste tutorial, faça o seguinte etapas:

1. Exclua o certificado gerenciado pelo Google:

   Console

   1. No console do Google Cloud, acesse a página Gerenciador de certificados.

      Acessar o Gerenciador de certificados

   2. Na guia Certificados, marque a caixa de seleção do certificado.

   3. Clique em Excluir.

   4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

   gcloud

   gcloud certificate-manager certificates delete CERTIFICATE_NAME \
       --location=LOCATION
   

   Substitua:

   • CERTIFICATE_NAME: o nome do certificado.
   • LOCATION: o local de destino do Google Cloud.

2. Exclua o recurso de configuração de emissão de certificados:

   Console

   1. No console do Google Cloud, acesse a página Gerenciador de certificados.

      Acessar o Gerenciador de certificados

   2. Na guia Issuance Configs, marque a caixa de seleção do configuração de emissão.

   3. Clique em Excluir.

   4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

   gcloud

   gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME \
       --location=LOCATION
   

   Substitua:

   • ISSUANCE_CONFIG_NAME: o nome da emissão configuração
   • LOCATION: o local de destino do Google Cloud.

3. Exclua o pool de ACs conforme descrito em Excluir uma AC. pool.

   Lembre-se de que, para desativar a última AC ativada no pool de ACs, referenciados no recurso de configuração de emissão de certificados ou excluir o no pool de ACs, primeiro é preciso excluir todos os recursos de configuração de emissão de certificado que fazem referência a esse pool de AC.

Solução de problemas

Para ver as etapas de solução de problemas, consulte Problemas relacionados a certificados emitidos por um instância de serviço da AC.