Este tutorial mostra como usar o Gerenciador de certificados para implantar um certificado global gerenciado pelo Google com o Certificate Authority Service.
Os seguintes balanceadores de carga globais oferecem suporte a certificados gerenciados pelo Google com o serviço de autoridade certificadora:
- Balanceador de carga de aplicativo externo global
- Balanceador de carga de aplicativo clássico
- Balanceador de carga de rede de proxy externo global
Se você quiser implantar em balanceadores de carga entre regiões ou regionais, consulte:
Objetivos
Nesta seção, mostramos como concluir as seguintes tarefas:
- Crie um certificado gerenciado pelo Google com o serviço de AC usando o Gerenciador de certificados.
- Implante o certificado em um balanceador de carga compatível usando um proxy HTTPS de destino.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager, Certificate Authority APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager, Certificate Authority APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Ative a API CA Service.
- Crie um pool de ACs. É necessário criar e ativar pelo menos uma AC nesse pool.
Antes de seguir as etapas deste tutorial, anote o seguinte:
- Os certificados criados com o Certificate Authority Service não são confiáveis publicamente. Para emitir certificados de confiança pública, crie certificados com autorização de DNS ou autorização de balanceador de carga.
Se uma política de emissão de certificados estiver em vigor no pool de AC de destino, o provisionamento de certificados poderá falhar por um dos seguintes motivos:
- A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber cobranças porque o certificado não foi emitido.
- A política aplicou mudanças ao certificado que não são compatíveis com o Gerenciador de certificados. Nesse caso, você vai receber uma cobrança porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.
Os certificados TLS globais gerenciados pelo Google podem ser configurados para serem emitidos de um pool de AC em qualquer região.
Funções exigidas
Confira se você tem os seguintes papéis para concluir as tarefas deste tutorial:
Proprietário do Gerenciador de certificados (
roles/certificatemanager.owner)Necessário para criar e gerenciar recursos do Gerenciador de certificados.
Administrador do balanceador de carga do Compute (
roles/compute.loadBalancerAdmin) ou administrador da rede do Compute (roles/compute.networkAdmin)É necessário para criar e gerenciar o proxy de destino HTTPS.
Administrador de serviço de CA (
roles/privateca.admin)Obrigatória para realizar ações no serviço de CA.
Para ver mais informações, consulte os seguintes tópicos:
- Funções e permissões para o Gerenciador de certificados.
- Papéis e permissões do IAM do Compute Engine para o Compute Engine.
- Controle de acesso com o IAM para o serviço de CA.
Criar o balanceador de carga
Este tutorial pressupõe que você já criou e configurou os back-ends, as verificações de integridade, os serviços de back-end e os mapas de URL do balanceador de carga. Se você criou um balanceador de carga de aplicativo externo, anote o nome do mapa de URL, porque ele será necessário mais adiante neste tutorial.
Se você não criou o balanceador de carga, consulte as páginas a seguir para criar um:
Para criar um balanceador de carga de aplicativo externo global, consulte Configurar um balanceador de carga de aplicativo externo global com back-ends de grupos de instâncias de VM.
Para criar um balanceador de carga de aplicativo clássico, consulte Configurar um balanceador de carga de aplicativo clássico com um back-end de grupo gerenciado de instâncias.
Para criar um balanceador de carga de rede (proxy SSL) de proxy externo global, consulte Configurar um balanceador de carga de rede (proxy SSL) de proxy externo global com back-ends de grupo de instâncias de VM.
Para criar um balanceador de carga de rede de proxy clássico (proxy SSL), consulte Configurar um balanceador de carga de rede de proxy clássico (proxy SSL) com back-ends de grupo de instâncias de VM.
Configurar a integração do serviço de CA com o Certificate Manager
Para integrar o serviço de CA ao Certificate Manager, siga estas etapas:
No projeto do Google Cloud de destino, crie uma conta de serviço do Certificate Manager:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDSubstitua
PROJECT_IDpelo ID do projeto do Google Cloud de destino.O comando retorna o nome da identidade de serviço criada. Veja o exemplo a seguir:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Conceda à conta de serviço do Certificate Manager a função de solicitante de certificado do serviço de CA (
roles/privateca.certificateRequester) no pool de AC de destino:gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterSubstitua:
CA_POOL: o ID do pool de AC de destino.LOCATION: o local Google Cloud de destino.SERVICE_ACCOUNT: o nome completo da conta de serviço criada na etapa 1.
Crie um recurso de configuração de emissão de certificados para o pool de ACs:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Issuance Configs, clique em Create.
No campo Nome, insira um nome exclusivo para a configuração de emissão de certificados.
Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.
Em Local, selecione Global.
Opcional: no campo Vida útil, especifique a vida útil do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).
Opcional: na Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começar. Para encontrar o intervalo de valores válidos, consulte Percentual de janela de vida útil e rotação.
Opcional: na lista Algoritmo de chave, selecione o algoritmo de chave a ser usado ao gerar a chave privada.
Na lista Pool de AC, selecione o nome do pool de AC a ser atribuído a este recurso de configuração de emissão de certificados.
No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
Clique em Criar.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOLSubstitua:
ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados.CA_POOL: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a esse recurso de configuração de emissão de certificados.
Para mais informações sobre os recursos de configuração de emissão de certificados, consulte Gerenciar recursos de configuração de emissão de certificados.
Criar um certificado gerenciado pelo Google emitido pela instância do serviço de AC
Para criar um certificado gerenciado pelo Google emitido pela sua instância do serviço de AC, faça o seguinte:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Certificados, clique em Adicionar certificado.
No campo Nome do certificado, insira um nome exclusivo para o certificado.
Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.
Em Local, selecione Global.
Em Escopo, selecione Padrão.
Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, selecione Particular.
No campo Domain Names, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com.Em Selecionar uma configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificados que faz referência ao pool de AC de destino.
No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.
Clique em Criar.
O novo certificado aparece na lista de certificados.
gcloud
Para criar um certificado global gerenciado pelo Google com o serviço de autoridade certificadora,
use o comando certificate-manager certificates create
com a flag issuance-config:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config=ISSUANCE_CONFIG_NAME
Substitua:
CERTIFICATE_NAME: o nome do certificado.DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com.ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
API
Crie o certificado fazendo uma solicitação POST ao método
certificates.create da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
}
}
Substitua:
PROJECT_ID: o ID do projeto do Google Cloud.CERTIFICATE_NAME: o nome do certificado.DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com.ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
Verificar o status do certificado
Antes de implantar um certificado em um balanceador de carga, verifique se ele está ativo. Pode
levar vários minutos para que o estado do certificado mude para ACTIVE.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Certificados, verifique a coluna Status do certificado.
gcloud
Para verificar o status do certificado, execute o seguinte comando:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Substitua CERTIFICATE_NAME pelo nome do certificado gerenciado pelo Google de destino.
O resultado será assim:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/global/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/global/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Para mais etapas de solução de problemas, consulte Solução de problemas do Gerenciador de certificados.
Implantar o certificado em um balanceador de carga
Para implantar o certificado global gerenciado pelo Google, use um mapa de certificados.
Criar um CertificateMap
Crie um mapa de certificados que faça referência à entrada de mapa de certificados associada ao seu certificado:
gcloud
Para criar um mapa de certificado, use o comando gcloud certificate-manager maps create:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Substitua CERTIFICATE_MAP_NAME pelo nome do mapa de certificado
de destino.
Terraform
Para criar um mapa de certificado, use um
recurso google_certificate_manager_certificate_map.
Criar uma entrada do mapa de certificados
Crie uma entrada de mapa de certificados e a associe ao seu certificado e ao mapa de certificados:
gcloud
Para criar uma entrada de mapa de certificado, use o comando gcloud certificate-manager maps entries create:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAME" \
--hostname="HOSTNAME"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.CERTIFICATE_MAP_NAME: o nome do mapa de certificados ao qual a entrada do mapa de certificados está anexada.CERTIFICATE_NAME: o nome do certificado que você quer associar à entrada do mapa de certificados.HOSTNAME: o nome do host que você quer associar à entrada do mapa de certificados.Se você estiver criando certificados com um domínio curinga, especifique o nome do host com um curinga também, como
*.example.com.
Terraform
Para criar uma entrada de mapa de certificado, use um recurso google_certificate_manager_certificate_map_entry.
Verificar se a entrada do mapa de certificados está ativa
Verifique se a entrada do mapa de certificados está ativa antes de anexar o mapa de certificado correspondente ao proxy de destino.
Para verificar a entrada do mapa de certificados, use o comando gcloud certificate-manager maps entries describe:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.CERTIFICATE_NAME: o nome do certificado que você quer associar à entrada do mapa de certificados.
O resultado será assim:
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Anexar o mapa de certificado ao proxy de destino
É possível anexar o mapa de certificado a um novo proxy de destino ou a um proxy de destino existente.
gcloud
Para anexar o mapa de certificado a um novo proxy de destino, use o comando gcloud compute target-https-proxies create:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME" \
--url-map="URL_MAP" \
--global
Substitua:
PROXY_NAME: o nome do proxy de destino.CERTIFICATE_MAP_NAME: o nome do mapa de certificado que faz referência à entrada do mapa de certificado e ao certificado associado.URL_MAP: o nome do mapa de URL
Para anexar o mapa de certificado a um proxy HTTPS de destino, use o comando gcloud compute target-https-proxies update. Se você não souber o nome do proxy de destino atual, acesse a página Proxy de destino e anote o nome dele.
gcloud compute target-https-proxies update PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME" \
--global
Depois de criar ou atualizar o proxy de destino, execute o seguinte comando para verificar:
gcloud compute target-https-proxies list
Terraform
Para anexar o mapa de certificado ao proxy de destino, use um
recurso google_compute_target_https_proxy.
Ao configurar um proxy de destino, se você anexar certificados TLS (SSL) diretamente e também por um mapa de certificados, o proxy usará os certificados referenciados pelo mapa de certificados e ignorará os certificados TLS (SSL) anexados diretamente.
Solução de problemas de certificados emitidos pelo serviço de AC
Para conferir as etapas de solução de problemas, consulte Problemas relacionados a certificados emitidos por uma instância de serviço de AC.
Limpar
Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste tutorial, exclua-os.
Exclua o balanceador de carga e os recursos dele.
Exclua ou desconecte o mapa de certificados do proxy.
Para excluir o mapa de certificados, execute o seguinte comando:
gcloud compute target-https-proxies delete PROXY_NAME
Se você quiser manter o proxy HTTPS de destino, remova o mapa de certificado do proxy. Antes de desconectar o mapa de certificado, observe o seguinte:
- Se houver certificados TLS (SSL) anexados diretamente ao proxy, a remoção do mapa de certificados faz com que o proxy volte a usar esses certificados TLS (SSL) anexados diretamente.
- Se não houver certificados TLS (SSL) anexados diretamente ao proxy, o mapa de certificado não poderá ser removido do proxy. É necessário anexar pelo menos um certificado TLS (SSL) diretamente ao proxy antes de desanexar o mapa de certificado.
Para desconectar o mapeamento de certificado, execute o seguinte comando:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-mapSubstitua
PROXY_NAMEpelo nome do proxy de destino.Exclua a entrada do mapa de certificados:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"Substitua:
CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.CERTIFICATE_MAP_NAME: o nome do mapa de certificados.
Exclua o mapa de certificados:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Substitua
CERTIFICATE_MAP_NAMEpelo nome do mapa de certificado.Exclua o certificado gerenciado pelo Google:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Certificados, marque a caixa de seleção do certificado.
Clique em Excluir.
Na caixa de diálogo exibida, clique em Excluir para confirmar.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Substitua
CERTIFICATE_NAMEpelo nome do certificado de destino.Exclua o recurso de configuração de emissão de certificados:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Issuance Configs, marque a caixa de seleção do recurso de configuração de emissão.
Clique em Excluir.
Na caixa de diálogo exibida, clique em Excluir para confirmar.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Substitua
ISSUANCE_CONFIG_NAMEpelo nome do recurso de configuração de emissão de certificado de destino.Exclua o pool de ACs.
Para excluir o pool de AC ou desativar a última AC ativada em um pool de AC referenciado por um recurso de configuração de emissão de certificados, exclua todos os recursos de configuração de emissão de certificados que fazem referência ao pool de AC. Para mais informações, consulte Excluir um pool de AC.