Esegui il deployment di un certificato globale gestito da Google con Certificate Authority Service

Questo tutorial illustra il processo di deployment dei certificati utilizzando un certificato gestito da Google con Certificate Authority Service come esempio.

I seguenti bilanciatori del carico supportano i certificati gestiti da Google con il servizio CA:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico delle applicazioni interno tra regioni
  • Bilanciatore del carico di rete proxy esterno globale

Se sono in vigore criteri di emissione dei certificati sul pool di CA di destinazione, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:

  • Il criterio di emissione del certificato ha bloccato il certificato richiesto. In questo caso, non ti verrà addebitato alcun costo poiché il certificato non è stato emesso.
  • Il criterio ha applicato al certificato modifiche che non sono supportate da Gestore certificati. In questo caso, la fatturazione ti verrà comunque addebitata perché il certificato è stato emesso, anche se non è completamente compatibile con Gestore certificati.

I certificati emessi seguendo i passaggi di questo tutorial non sono considerati attendibili pubblicamente. Se vuoi per emettere certificati attendibili pubblicamente, segui i passaggi di uno dei tutorial seguenti:

Se vuoi eseguire la migrazione di un certificato esistente a Gestore certificati, segui i passaggi in Eseguire la migrazione dei certificati in Gestore certificati.

Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un Certificato TLS, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Crea un certificato gestito da Google con CA Service mediante Gestione certificati.
  • Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Assicurati di disporre dei seguenti ruoli per completare le attività in questo tutorial:

    • Proprietario del Gestore certificati:obbligatorio per creare e gestire le risorse del Gestore certificati.
    • Amministratore bilanciatore del carico Compute o Amministratore rete Compute:è obbligatorio per creare e gestire il proxy di destinazione HTTPS.
    • Amministratore Certificate Authority Service:obbligatorio per eseguire azioni all'interno del servizio CA.

    Per ulteriori informazioni, consulta le seguenti risorse:

  3. Abilita l'API CA Service.

  4. Crea un pool di CA. Devi creare e abilitare Almeno una CA in questo pool di CA.

Configura l'integrazione del servizio CA con Gestore certificati

Configura Gestore certificati per l'integrazione con il servizio CA nel modo seguente:

  1. Utilizza il comando seguente per creare un account di servizio Gestore certificati nel progetto Google Cloud di destinazione:

    gcloud beta services identity create --service=certificatemanager.googleapis.com \
   --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

    Il comando restituisce il nome dell'identità del servizio creata. Vedi l'esempio che segue:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  2. Concedi all'account di servizio Gestore certificati il ruolo Richiedente certificato in il pool di CA di destinazione nel seguente modo:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
   --location REGION \
   --member "serviceAccount:SERVICE_ACCOUNT" \
   --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione.
    • REGION: la regione Google Cloud di destinazione.
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio che hai creato nel passaggio 1.

  3. Crea una risorsa per la configurazione dell'emissione dei certificati per il pool di CA:

    gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
   --ca-pool=CA_POOL \
   [--lifetime=CERTIFICATE_LIFETIME] \
   [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
   [--key-algorithm=KEY_ALGORITHM]

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: il nome univoco della risorsa di configurazione dell'emissione del certificato.
    • CA_POOL: il percorso completo della risorsa e il nome del pool di CA da assegnare a questa risorsa della configurazione dell'emissione dei certificati.

    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni in formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.

    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativa.

      Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno sette giorni dopo la sua emissione e almeno sette giorni prima della scadenza.

    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.

Per saperne di più sulle configurazioni di emissione dei certificati, vedi Gestire le configurazioni dell'emissione dei certificati.

Crea un certificato gestito da Google emesso dalla tua istanza di CA Service

Crea un certificato gestito da Google emesso dalla tua istanza di CA Service come segue:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. In corrispondenza di località, scegli Globale.

  7. Per Ambito, scegli una delle seguenti opzioni:

    1. Predefinito: scegli l'impostazione predefinita per un Bilanciatore del carico delle applicazioni esterno globale, un Bilanciatore del carico delle applicazioni classico o un Bilanciatore del carico di rete proxy esterno globale
    2. Tutte le regioni: scegli tutte le regioni per un bilanciatore del carico delle applicazioni interno tra regioni

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

Per un bilanciatore del carico delle applicazioni interno tra regioni:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    --scope=all-regions

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

API

Crea il certificato inviando una richiesta POST a certificates.create come segue:

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento alla pool di CA di destinazione.

Per un bilanciatore del carico delle applicazioni interno tra regioni:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "ALL_REGIONS"
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento alla pool di CA di destinazione.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Verifica che il certificato sia attivo

Utilizza il comando seguente per verificare che il certificato stesso sia attivo prima il deployment nel tuo bilanciatore del carico. Potrebbero essere necessari diversi minuti per impostare lo stato del certificato in ACTIVE.

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del target Certificato gestito da Google.

Il comando restituisce un output simile al seguente:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  domains:
  - myorg.example.com
  issuanceConfig: projects/myProject/locations/global/certificateIssuanceConfigs/myIssuanceConfig
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Esegui il deployment del certificato su un bilanciatore del carico

Questa sezione illustra i passaggi necessari per eseguire il deployment del certificato gestito da Google in un bilanciatore del carico.

Prima di procedere con le attività di questa sezione, assicurati di aver completato il elencate nelle sezioni Configurare l'integrazione del servizio CA con il gestore certificati e Creare un certificato gestito da Google emesso dall'istanza del servizio CA.

A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:

Esegui il deployment del certificato utilizzando una mappa di certificati

Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa di certificati.

Crea una mappa di certificati

Crea una mappa di certificati che farà riferimento alla voce della mappa dei certificati associati al tuo certificato:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa di certificati di destinazione.

Crea una voce della mappa di certificati

Crea una voce della mappa di certificati e associarlo al tuo certificato. nonché la mappa dei certificati:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: un nome univoco della voce della mappa di certificati
  • CERTIFICATE_MAP_NAME: il nome del certificato mappa a cui questa voce di mappa di certificati si collega
  • CERTIFICATE_NAME: il nome del certificato che vuoi associa a questa voce della mappa di certificati
  • HOSTNAME: il nome host che vuoi associare con questa voce della mappa di certificati

Verifica che la voce della mappa di certificati sia attiva

Utilizza il comando seguente per verificare che la voce della mappa di certificati sia attiva prima di collegare la mappa di certificati corrispondente al proxy di destinazione:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome del target voce mappa di certificati
  • CERTIFICATE_MAP_NAME: il nome del certificato mappa a cui questa voce di mappa di certificati si collega

Il comando restituisce un output simile al seguente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Collega la mappa di certificati al proxy di destinazione

Collega la mappa di certificati configurata al proxy di destinazione:

  1. Nella console Google Cloud, vai alla pagina Proxy di destinazione.

    Vai a Proxy di destinazione

  2. Prendi nota del nome del proxy di destinazione.

  3. Collega la mappa di certificati al proxy di destinazione:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • PROXY_NAME: il nome del proxy di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati fare riferimento alla voce della mappa di certificati e al certificato associato

Se esistono certificati TLS (SSL) esistenti collegati direttamente proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati tramite i certificati TLS (SSL) direttamente collegati.

Collega il certificato direttamente al proxy di destinazione

Per collegare il certificato direttamente al proxy, esegui questo comando:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROXY_NAME: un nome univoco del proxy.
  • URL_MAP: il nome della mappa URL. La mappa URL è stata creata durante la creazione del bilanciatore del carico.
  • CERTIFICATE_NAME: il nome del certificato.

Risoluzione dei problemi

Per conoscere la procedura di risoluzione dei problemi, vedi Problemi relativi ai certificati emessi da un'istanza del servizio di CA.

Esegui la pulizia

Per annullare le modifiche apportate in questo tutorial, completa i seguenti passaggi passaggi:

  1. Scollega la mappa di certificati dal proxy.

    Prima di scollegare la mappa di certificati, tieni presente quanto segue:

    • Se esistono certificati TLS (SSL) collegati direttamente al proxy, lo scollegamento della mappa di certificati fa sì che il proxy riprenda a utilizzarli direttamente certificati TLS (SSL) allegati.
    • Se non erano presenti certificati TLS (SSL) collegati direttamente al proxy, la mappa dei certificati non può essere scollegato dal proxy. Devi prima collegare almeno un protocollo TLS (SSL) direttamente al proxy prima di scollegare la mappa di certificati.

    Per scollegare la mappa di certificati, esegui questo comando:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

  2. Elimina la voce della mappa di certificati dalla mappa di certificati:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome del voce mappa di certificati di destinazione
    • CERTIFICATE_MAP_NAME: il nome del mappa di certificati di destinazione

  3. Elimina la mappa di certificati:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Sostituisci CERTIFICATE_MAP_NAME con il nome del target mappa di certificati.

  4. Elimina il certificato gestito da Google:

    Console

    1. Nella console Google Cloud, vai alla pagina Gestore certificati.

      Vai a Gestore certificati

    2. Nella scheda Certificati, seleziona la casella di controllo della certificato.

    3. Fai clic su Elimina.

    4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

    gcloud 

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del target certificato.

  5. Elimina la risorsa di configurazione dell'emissione dei certificati:

    Console

    1. Nella console Google Cloud, vai alla pagina Gestore certificati.

      Vai a Gestore certificati

    2. Nella scheda Configurazioni di emissione, seleziona la casella di controllo della e la configurazione dell'emissione.

    3. Fai clic su Elimina.

    4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

    gcloud 

     gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

    Sostituisci ISSUANCE_CONFIG_NAME con il nome del target risorsa di configurazione dell'emissione dei certificati.

  6. Elimina il pool di CA come descritto in Eliminazione di un pool di CA.

    Tieni presente che per disabilitare l'ultima CA che hai abilitato nel pool di CA a cui viene fatto riferimento nel dell'emissione dei certificati o per eliminare del tutto il pool di CA a cui viene fatto riferimento, devi elimina prima ogni configurazione di emissione dei certificati che fa riferimento a quel pool di CA.

Passaggi successivi