Esegui il deployment di un certificato globale gestito da Google con Certificate Authority Service

Questo tutorial illustra la procedura di deployment dei certificati utilizzando un certificato gestito da Google con Certificate Authority Service come esempio.

I seguenti bilanciatori del carico supportano i certificati gestiti da Google con il servizio CA:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico delle applicazioni interno tra regioni
  • Bilanciatore del carico di rete proxy esterno globale

Se un criterio di emissione dei certificati è in vigore sul pool di CA di destinazione, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:

  • Il criterio di emissione del certificato ha bloccato il certificato richiesto. In questo caso, non ti verrà addebitato alcun costo poiché il certificato non è stato emesso.
  • Il criterio ha applicato al certificato modifiche non supportate da Gestore certificati. In questo caso, la fatturazione ti verrà comunque addebitata perché il certificato è stato emesso, anche se non è completamente compatibile con Gestore certificati.

I certificati emessi seguendo i passaggi di questo tutorial non sono considerati attendibili pubblicamente. Se vuoi emettere certificati che sono attendibili pubblicamente, segui i passaggi di uno dei seguenti tutorial:

Se vuoi eseguire la migrazione di un certificato esistente a Gestore certificati, segui i passaggi descritti in Eseguire la migrazione dei certificati in Gestore certificati.

Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un certificato TLS gestito da Google, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Creare un certificato gestito da Google con CA Service utilizzando Gestione certificati.
  • Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Assicurati di disporre dei seguenti ruoli per completare le attività in questo tutorial:

    • Proprietario del Gestore certificati:obbligatorio per creare e gestire le risorse del Gestore certificati.
    • Amministratore bilanciatore del carico Compute o Amministratore rete Compute:è obbligatorio per creare e gestire il proxy di destinazione HTTPS.
    • Amministratore Certificate Authority Service:obbligatorio per eseguire azioni all'interno del servizio CA.

    Per ulteriori informazioni, consulta le seguenti risorse:

  3. Abilita l'API CA Service.

  4. Crea un pool di CA. Devi creare e abilitare almeno una CA in questo pool di CA.

Configura l'integrazione del servizio CA con Gestore certificati

Configura Gestore certificati per l'integrazione con il servizio CA nel modo seguente:

  1. Utilizza il comando seguente per creare un account di servizio Gestore certificati nel progetto Google Cloud di destinazione:

    gcloud beta services identity create --service=certificatemanager.googleapis.com \
   --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

    Il comando restituisce il nome dell'identità del servizio creata. Vedi l'esempio che segue:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  2. Concedi all'account di servizio Gestore certificati il ruolo Richiedente certificati all'interno del pool di CA di destinazione come segue:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
   --location REGION \
   --member "serviceAccount:SERVICE_ACCOUNT" \
   --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione.
    • REGION: la regione Google Cloud di destinazione.
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio che hai creato nel passaggio 1.

  3. Crea una risorsa per la configurazione dell'emissione dei certificati per il pool di CA:

    gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
   --ca-pool=CA_POOL \
   [--lifetime=CERTIFICATE_LIFETIME] \
   [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
   [--key-algorithm=KEY_ALGORITHM]

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: il nome univoco della risorsa di configurazione dell'emissione del certificato.
    • CA_POOL: il percorso completo della risorsa e il nome del pool di CA da assegnare a questa risorsa della configurazione dell'emissione dei certificati.

    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.

    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativa.

      Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno sette giorni dopo la sua emissione e almeno sette giorni prima della scadenza.

    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.

Per saperne di più sulle configurazioni di emissione dei certificati, vedi Gestire le configurazioni dell'emissione dei certificati.

Crea un certificato gestito da Google emesso dalla tua istanza di CA Service

Crea un certificato gestito da Google emesso dall'istanza del servizio CA, come segue:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In corrispondenza di località, scegli Globale.

  7. Per Ambito, scegli una delle seguenti opzioni:

    1. Predefinito: scegli l'impostazione predefinita per un Bilanciatore del carico delle applicazioni esterno globale, un Bilanciatore del carico delle applicazioni classico o un Bilanciatore del carico di rete proxy esterno globale
    2. Tutte le regioni: scegli tutte le regioni per un bilanciatore del carico delle applicazioni interno tra regioni

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

Per un bilanciatore del carico delle applicazioni interno tra regioni:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    --scope=all-regions

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

Per un bilanciatore del carico delle applicazioni interno tra regioni:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "ALL_REGIONS"
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Verifica che il certificato sia attivo

Utilizza il comando seguente per verificare che il certificato stesso sia attivo prima di eseguirne il deployment nel bilanciatore del carico. Possono essere necessari diversi minuti prima che lo stato del certificato diventi ACTIVE.

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione gestito da Google.

Il comando restituisce un output simile al seguente:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  domains:
  - myorg.example.com
  issuanceConfig: projects/myProject/locations/global/certificateIssuanceConfigs/myIssuanceConfig
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Esegui il deployment del certificato su un bilanciatore del carico

Questa sezione illustra i passaggi necessari per eseguire il deployment del certificato gestito da Google in un bilanciatore del carico.

Prima di procedere con le attività in questa sezione, assicurati di aver completato quelle elencate nelle sezioni Configurare l'integrazione di CA Service con Certificate Manager e Creare un certificato gestito da Google emesso dall'istanza del servizio CA.

A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:

Esegui il deployment del certificato utilizzando una mappa di certificati

Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa di certificati.

Crea una mappa di certificati

Crea una mappa di certificati che faccia riferimento alla voce della mappa dei certificati associata al tuo certificato:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa di certificati di destinazione.

Crea una voce della mappa di certificati

Crea una voce della mappa di certificati e associala al tuo certificato e alla tua mappa di certificati:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: un nome univoco della voce della mappa di certificati
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui si collega questa voce di mappa di certificati
  • CERTIFICATE_NAME: il nome del certificato che vuoi associare alla voce della mappa di certificati
  • HOSTNAME: il nome host che vuoi associare a questa voce della mappa di certificati

Verifica che la voce della mappa di certificati sia attiva

Utilizza il seguente comando per verificare che la voce della mappa di certificati sia attiva prima di collegare la mappa di certificati corrispondente al proxy di destinazione:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati di destinazione
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui si collega questa voce di mappa di certificati

Il comando restituisce un output simile al seguente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Collega la mappa di certificati al proxy di destinazione

Collega la mappa di certificati configurata al proxy di destinazione:

  1. Nella console Google Cloud, vai alla pagina Proxy di destinazione.

    Vai a Proxy di destinazione

  2. Prendi nota del nome del proxy di destinazione.

  3. Collega la mappa di certificati al proxy di destinazione:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • PROXY_NAME: il nome del proxy di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati che fa riferimento alla voce della mappa di certificati e al certificato associato

Se sono già presenti certificati TLS (SSL) collegati direttamente al proxy, il proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati rispetto ai certificati TLS (SSL) direttamente collegati.

Collega il certificato direttamente al proxy di destinazione

Per collegare il certificato direttamente al proxy, esegui questo comando:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROXY_NAME: un nome univoco del proxy.
  • URL_MAP: il nome della mappa URL. La mappa URL è stata creata durante la creazione del bilanciatore del carico.
  • CERTIFICATE_NAME: il nome del certificato.

Risoluzione dei problemi

Per la procedura di risoluzione dei problemi, consulta Problemi relativi ai certificati emessi da un'istanza del servizio di CA.

Esegui la pulizia

Per ripristinare le modifiche apportate in questo tutorial, completa questi passaggi:

  1. Scollega la mappa di certificati dal proxy.

    Prima di scollegare la mappa di certificati, tieni presente quanto segue:

    • Se erano presenti certificati TLS (SSL) collegati direttamente al proxy, lo scollegamento della mappa di certificati fa sì che il proxy riprende a utilizzare i certificati TLS (SSL) collegati direttamente.
    • Se non esistono certificati TLS (SSL) collegati direttamente al proxy, la mappa di certificati non può essere scollegata dal proxy. Devi collegare almeno un certificato TLS (SSL) direttamente al proxy prima di poter scollegare la mappa di certificati.

    Per scollegare la mappa di certificati, esegui questo comando:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

  2. Elimina la voce della mappa di certificati dalla mappa di certificati:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati di destinazione

  3. Elimina la mappa di certificati:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa di certificati di destinazione.

  4. Elimina il certificato gestito da Google:

    Console

    1. Nella console Google Cloud, vai alla pagina Gestore certificati.

      Vai a Gestore certificati

    2. Nella scheda Certificati, seleziona la casella di controllo del certificato.

    3. Fai clic su Elimina.

    4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

    gcloud 

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

  5. Elimina la risorsa di configurazione dell'emissione dei certificati:

    Console

    1. Nella console Google Cloud, vai alla pagina Gestore certificati.

      Vai a Gestore certificati

    2. Nella scheda Configurazioni di emissione, seleziona la casella di controllo della configurazione di emissione.

    3. Fai clic su Elimina.

    4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

    gcloud 

     gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

    Sostituisci ISSUANCE_CONFIG_NAME con il nome della risorsa di configurazione dell'emissione dei certificati di destinazione.

  6. Elimina il pool di CA come descritto in Eliminazione di un pool di CA.

    Tieni presente che per disabilitare l'ultima CA abilitata nel pool di CA a cui viene fatto riferimento nella configurazione di emissione dei certificati o per eliminare del tutto il pool di CA a cui viene fatto riferimento, devi prima eliminare ogni configurazione di emissione dei certificati che fa riferimento a quel pool di CA.

Passaggi successivi