Questo tutorial descrive come utilizzare Gestore certificati per il deployment un certificato a livello di regione gestito da Google con il servizio CA a un bilanciatore del carico delle applicazioni esterno regionale o a un il bilanciatore del carico delle applicazioni interno regionale.
Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Crea un certificato gestito da Google con CA Service utilizzando Gestore certificati.
- Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un protocollo HTTPS di destinazione proxy.
Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.
Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Assicurati di disporre dei seguenti ruoli per completare le attività in questo tutorial:
- Proprietario Certificate Manager: obbligatorio per creare e e gestire le risorse del gestore certificati.
- Amministratore bilanciatore del carico Compute: richiesto per creare e gestire HTTPS proxy di destinazione.
- CA Service Admin (Amministratore servizio CA): obbligatorio per eseguire azioni entro CA Service.
Per ulteriori informazioni, consulta le seguenti risorse:
- Ruoli e autorizzazioni per Gestore certificati
- Ruoli IAM di Compute Engine autorizzazioni per Compute Engine
- Autorizzazioni e ruoli per CA Service
Crea un pool di CA. Devi creare e abilitare Almeno una CA in questo pool di CA.
Configura l'integrazione del servizio CA con Gestore certificati
Configura Gestore certificati per l'integrazione con CA Service come segue:
Creare un account di servizio Gestore certificati nella destinazione Progetto Google Cloud:
gcloud beta services identity create \ --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del target progetto Google Cloud.
Il comando restituisce il nome dell'identità di servizio creata, come mostrato nell'esempio seguente:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Concedi all'account di servizio Gestore certificati il ruolo CA Service Certificate Requester all'interno del pool di CA di destinazione come segue:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Sostituisci quanto segue:
CA_POOL
: l'ID del pool di CA di destinazione.LOCATION
: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.SERVICE_ACCOUNT
: nome completo dell'account di servizio creato nel passaggio 1.
Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
: il nome univoco del risorsa di configurazione dell'emissione dei certificati.CA_POOL
: il percorso completo della risorsa e il nome della CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.LOCATION
: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.CERTIFICATE_LIFETIME
: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D
). Questa impostazione è facoltativa.ROTATION_WINDOW_PERCENTAGE
: la percentuale durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66 percentuale. Occorre impostare la percentuale della finestra di rotazione in relazione al per una durata minima del certificato, in modo che il rinnovo del certificato avvenga per almeno 7 giorni dopo che il certificato è stato emesso e almeno 7 giorni prima scade. Questa impostazione è facoltativa.KEY_ALGORITHM
: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256
orsa-2048
. Il valore predefinito èrsa-2048
. Questa impostazione è facoltativa.
Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestisci le configurazioni di emissione dei certificati.
Crea un certificato gestito da Google a livello di regione
Crea un certificato a livello di regione gestito da Google emesso dal tuo Servizio CA che utilizza la risorsa di configurazione dell'emissione dei certificati creati nel passaggio precedente:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli A livello di regione.
Dall'elenco Regione, seleziona una regione.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Privato.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com
.In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
key
evalue
per l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
Esegui questo comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Sostituisci quanto segue:
CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAMES
: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.LOCATION
: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.
API
Crea il certificato effettuando una richiesta POST
all'indirizzo
certificates.create
come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME" { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.LOCATION
: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAME
: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, comeexample.com
ewww.example.com
.ISSUANCE_CONFIG_NAME
: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
Per una panoramica del processo di deployment dei certificati, consulta Deployment Panoramica.
Verifica che il certificato sia attivo
Utilizza il comando seguente per verificare che il certificato stesso sia attivo prima
il deployment nel tuo bilanciatore del carico. Potrebbero essere necessari diversi minuti
per impostare lo stato del certificato in ACTIVE
.
gcloud beta certificate-manager certificates describe CERTIFICATE_NAME \ --location=LOCATION
Sostituisci quanto segue:
CERTIFICATE_NAME
: un nome univoco del certificato.LOCATION
: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.
Il comando restituisce un output simile al seguente:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/mylocation/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/mylocation/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Esegui il deployment del certificato gestito da Google a livello di regione su un bilanciatore del carico
Per eseguire il deployment del certificato gestito da Google a livello di regione, crea un proxy di destinazione HTTPS e allegarvi il certificato.
Crea il proxy di destinazione HTTPS
Per creare il proxy di destinazione HTTPS e collegare il certificato, esegui questo comando: :
gcloud compute target-https-proxies create PROXY_NAME \ --url-map=URL_MAP \ --region=REGION \ --certificate-manager-certificates=CERTIFICATE_NAME
Sostituisci quanto segue:
PROXY_NAME
: un nome univoco del proxy.URL_MAP
: il nome della mappa URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.REGION
: la regione in cui stai creando il protocollo HTTPS proxy di destinazione.CERTIFICATE_NAME
: il nome del certificato.
Per verificare se il proxy di destinazione è stato creato, esegui questo comando:
gcloud compute target-https-proxies list
Creare una regola di forwarding
Configura una regola di forwarding e completa la configurazione del bilanciatore del carico.
- Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale, consulta Configura un bilanciatore del carico delle applicazioni esterno regionale con backend di gruppi di istanze VM.
- Se utilizzi un bilanciatore del carico delle applicazioni interno regionale, consulta Configura un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM.
Esegui la pulizia
Per annullare le modifiche apportate in questo tutorial, completa i seguenti passaggi passaggi:
Elimina il certificato gestito da Google:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Certificati, seleziona la casella di controllo della certificato.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ --location=LOCATION
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificatoLOCATION
: la località di destinazione di Google Cloud
Elimina la risorsa di configurazione dell'emissione dei certificati:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Configurazioni di emissione, seleziona la casella di controllo della e la configurazione dell'emissione.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME \ --location=LOCATION
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
: il nome dell'emissione configuraLOCATION
: la località di destinazione di Google Cloud
Elimina il pool di CA come descritto in Eliminare una CA pool.
Tieni presente che, per disabilitare l'ultima CA abilitata nel pool di CA, a cui viene fatto riferimento nella risorsa di configurazione dell'emissione dei certificati o di eliminare Completamente il pool di CA, devi prima eliminare ogni risorsa di configurazione dell'emissione dei certificati che fa riferimento a quel pool di CA.
Risoluzione dei problemi
Per la procedura di risoluzione dei problemi, consulta l'argomento Problemi relativi ai certificati emessi da un CA Service.