Ce tutoriel vous explique le processus de déploiement de certificats à l'aide d'un certificat géré par Google avec l'autorisation DNS, à titre d'exemple.
Les équilibreurs de charge suivants sont compatibles avec les certificats gérés par Google avec autorisation DNS:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application interne interrégional
- Équilibreur de charge réseau proxy externe global
Pour comparer les types d'autorisations de domaine acceptés, consultez la section Autorisations de domaine.
Si vous souhaitez migrer un certificat existant vers le gestionnaire de certificats, suivez plutôt la procédure décrite dans Migrer des certificats vers le gestionnaire de certificats.
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
- Créez un certificat géré par Google, émis par une autorité de certification publiquement approuvée avec l'autorisation DNS, à l'aide du gestionnaire de certificats.
- Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.
Pour en savoir plus sur le processus de déploiement de certificats, consultez la section Présentation du déploiement.
Avant de commencer
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Vous devez utiliser la gcloud CLI
465.0.0
ou une version ultérieure pour pouvoir déployer le certificat. Pour vérifier la version de votre gcloud CLI, exécutez la commande suivante:gcloud --version
Pour mettre à jour la gcloud CLI, exécutez la commande suivante.
gcloud components update
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute:requis pour créer et gérer un proxy cible HTTPS.
- Administrateur DNS:requis si vous souhaitez utiliser Cloud DNS comme solution DNS.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
- Contrôle des accès avec IAM pour Cloud DNS
Créer un certificat géré par Google avec une autorisation DNS
Suivez les étapes de cette section pour créer une autorisation DNS et un certificat géré par Google qui référence cette autorisation DNS.
Créer une autorisation DNS
Créez l'autorisation DNS comme décrit dans cette section. Si vous créez une autorisation DNS pour un certificat générique, tel que *.myorg.example.com
, configurez l'autorisation DNS pour le domaine parent, par exemple myorg.example.com
.
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
Pour utiliser l'autorisation DNS par projet (Preview), exécutez la commande suivante:
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
Remplacez les éléments suivants :
AUTHORIZATION_NAME
: nom de l'autorisation DNS.DOMAIN_NAME
: nom du domaine pour lequel vous créez cette autorisation DNS. Le nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com
.
La commande renvoie un résultat semblable à celui-ci. Utilisez l'enregistrement CNAME de la sortie pour l'ajouter à votre configuration DNS.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
Pour créer une autorisation DNS, vous pouvez utiliser une ressource google_certificate_manager_dns_authorization
.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
Ajouter l'enregistrement CNAME à votre configuration DNS
Si vous utilisez Google Cloud pour gérer votre DNS, suivez la procédure décrite dans cette section. Sinon, consultez la documentation de votre solution DNS tierce.
Avant de suivre les étapes de cette section, assurez-vous d'avoir créé une zone DNS publique.
Lorsque vous créez une autorisation DNS, la commande gcloud CLI renvoie l'enregistrement CNAME correspondant. Vous devez ajouter cet enregistrement CNAME à votre configuration DNS dans la zone DNS du domaine cible comme suit :
gcloud
- Lancez la transaction d'enregistrement DNS :
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
Remplacez DNS_ZONE_NAME
par le nom de la zone DNS cible.
- Ajoutez l'enregistrement CNAME à la zone DNS cible :
gcloud dns record-sets transaction add CNAME_RECORD \ --name="_acme-challenge.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
Remplacez les éléments suivants :
CNAME_RECORD
: valeur de données complète de l'enregistrement CNAME renvoyé par la commande Google Cloud CLI qui a créé l'autorisation DNS correspondante.DOMAIN_NAME
: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
. Vous devez également inclure le point final après le nom de domaine cible.DNS_ZONE_NAME
: nom de la zone DNS cible.
Consultez l'exemple ci-dessous :
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"
- Exécutez la transaction d'enregistrement DNS pour enregistrer vos modifications:
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
Remplacez DNS_ZONE_NAME
par le nom de la zone DNS cible.
Terraform
Pour ajouter l'enregistrement CNAME à votre configuration DNS, vous pouvez utiliser une ressource google_dns_record_set
.
Créer un certificat géré par Google faisant référence à l'autorisation DNS
Pour créer un certificat géré par Google qui référence l'autorisation DNS que vous avez créée aux étapes précédentes, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Attribuez un nom au certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aidera ultérieurement à identifier un certificat spécifique.
Pour l'emplacement, sélectionnez Global.
Pour Champ d'application, sélectionnez l'une des options suivantes:
- Par défaut: sélectionnez la valeur par défaut pour l'équilibreur de charge d'application externe global, l'équilibreur de charge d'application classique ou l'équilibreur de charge réseau proxy externe global.
- Toutes les régions: sélectionnez toutes les régions pour un équilibreur de charge d'application interne interrégional.
Dans le champ Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Certificate Authority type (Type d'autorité de certification), sélectionnez Public.
Spécifiez les noms de domaine du certificat. Saisissez une liste des domaines cibles séparés par une virgule. En outre, chaque nom de domaine doit être un nom de domaine complet (par exemple,
myorg.example.com
).Dans le champ Type d'autorisation, sélectionnez Autorisation DNS. Si le nom de domaine est associé à une autorisation DNS, il sera automatiquement sélectionné. Si le nom de domaine n'est pas associé à une autorisation DNS, procédez comme suit:
- Cliquez sur Create missing DNS authorization (Créer une autorisation DNS manquante) pour afficher la boîte de dialogue "Créer une autorisation DNS".
- Dans le champ DNS Authorization Name (Nom de l'autorisation DNS), spécifiez le nom d'autorisation DNS.
- Cliquez sur Créer une autorisation DNS. Vérifiez que le nom DNS est associé au nom de domaine.
Spécifiez un libellé à associer au certificat. Vous pouvez ajouter plusieurs étiquettes, si nécessaire. Pour ajouter un libellé, cliquez sur le bouton add_box Ajouter un libellé, puis spécifiez les valeurs
key
etvalue
du libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
Pour un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique ou un équilibreur de charge réseau proxy externe global:
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME
--domains=DOMAIN_NAME
--dns-authorizations=AUTHORIZATION_NAME
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créée pour ce certificat.
Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. Un certificat de nom de domaine générique couvre tous les sous-domaines de premier niveau d'un domaine donné.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat. Le préfixe avec l'astérisque (*.
) signifie un certificat générique. Le nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com
.AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créée pour ce certificat.
Pour un équilibreur de charge d'application interne interrégional:
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME
--domains=DOMAIN_NAME
--dns-authorizations=AUTHORIZATION_NAME
--scope=all-regions
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créée pour ce certificat.
Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. Un certificat de nom de domaine générique couvre tous les sous-domaines de premier niveau d'un domaine donné.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME \ --scope=all-regions
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat. Le préfixe avec l'astérisque (*.
) signifie un certificat générique. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créée pour ce certificat.
Terraform
Utilisez une ressource google_certificate_manager_certificate
.
Vérifier que le certificat est actif
Utilisez la commande suivante pour vérifier que le certificat lui-même est actif avant de le déployer sur votre équilibreur de charge. Le passage de l'état du certificat à ACTIVE
peut prendre plusieurs heures.
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Remplacez CERTIFICATE_NAME
par le nom du certificat géré par Google cible.
La commande renvoie un résultat semblable à celui-ci :
expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED dnsAuthorizations: - projects/my-project/locations/global/dnsAuthorizations/myAuth domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/global/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Déployer le certificat sur un équilibreur de charge
Cette section décrit la procédure à suivre pour déployer le certificat géré par Google sur un équilibreur de charge.
Avant de poursuivre les tâches de cette section, assurez-vous d'avoir effectué les tâches indiquées dans la section Créer un certificat géré par Google avec une autorisation DNS.
Selon le type d'équilibreur de charge, vous pouvez déployer des certificats comme suit:
- Pour les équilibreurs de charge suivants, déployez le certificat à l'aide d'un mappage de certificats :
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge d'application classique
- Pour l'équilibreur de charge d'application interne interrégional, déployez le certificat en l'associant directement au proxy cible.
Déployer le certificat à l'aide d'un mappage de certificats
Cette section décrit les étapes à suivre pour déployer un certificat à l'aide d'un mappage de certificats.
Créer un mappage de certificat
Créez un mappage de certificats qui référence l'entrée de mappage de certificats associée à votre certificat:
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Remplacez CERTIFICATE_MAP_NAME
par le nom du mappage de certificats cible.
Terraform
Pour créer un mappage de certificat, vous pouvez utiliser une ressource google_certificate_manager_certificate_map
.
Créer une entrée de mappage de certificat
Créez une entrée de mappage de certificat et associez-la à votre certificat ainsi qu'à votre mappage de certificats:
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom unique de l'entrée de mappage de certificatCERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel cette entrée de mappage de certificat est associéeCERTIFICATE_NAME
: nom du certificat que vous souhaitez associer à cette entrée de mappage de certificat.HOSTNAME
: nom d'hôte que vous souhaitez associer à cette entrée de mappage de certificat
Terraform
Pour créer une entrée de mappage de certificat, vous pouvez utiliser une ressource google_certificate_manager_certificate_map_entry
.
Vérifier que l'entrée de mappage de certificat est active
Exécutez la commande suivante pour vérifier que l'entrée de mappage de certificat est active avant d'associer le mappage de certificat correspondant au proxy cible
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de mappage de certificats cibleCERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel cette entrée de mappage de certificat est associée
La commande renvoie un résultat semblable à celui-ci :
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Associer le mappage de certificat au proxy cible
Associez le mappage de certificat configuré au proxy cible:
gcloud
Dans la console Google Cloud, accédez à la page Proxys cibles.
Notez le nom du proxy cible.
Associez le mappage de certificat au proxy cible:
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --global
Remplacez les éléments suivants :
PROXY_NAME
: nom du proxy cible.CERTIFICATE_MAP_NAME
: nom du mappage de certificat faisant référence à l'entrée de mappage de certificat et au certificat associé.
Terraform
Pour associer le mappage de certificat au proxy cible, vous pouvez utiliser une ressource google_compute_target_https_proxy
.
Si des certificats TLS (SSL) sont déjà associés directement au proxy, celui-ci donne la priorité aux certificats référencés par le mappage de certificats par rapport aux certificats TLS (SSL) directement associés.
Associer le certificat directement au proxy cible
Pour associer le certificat directement au proxy, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
Remplacez les éléments suivants :
PROXY_NAME
: nom unique du proxy.URL_MAP
: nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.CERTIFICATE_NAME
: nom du certificat.
Effectuer un nettoyage
Pour annuler les modifications effectuées dans ce tutoriel, procédez comme suit:
Dissociez le mappage de certificat du proxy.
Avant de dissocier le mappage de certificat, tenez compte des points suivants:
- Si des certificats TLS (SSL) sont associés directement au proxy, la dissociation du mappage de certificat entraîne la réactivation du proxy pour l'utilisation de ces certificats TLS (SSL) directement associés.
- Si aucun certificat TLS (SSL) n'est associé directement au proxy, le mappage de certificat ne peut pas être dissocié du proxy. Vous devez d'abord associer au moins un certificat TLS (SSL) directement au proxy avant de pouvoir dissocier le mappage de certificats.
Pour dissocier le mappage de certificats, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Remplacez
PROXY_NAME
par le nom du proxy cible.Supprimez l'entrée de mappage de certificats du mappage de certificats:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de mappage de certificats cible.CERTIFICATE_MAP_NAME
: nom du mappage de certificats cible.
Supprimez le mappage de certificat:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Remplacez
CERTIFICATE_MAP_NAME
par le nom du mappage de certificats cible.Supprimez le certificat géré par Google:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Remplacez
CERTIFICATE_NAME
par le nom du certificat cible.Supprimez l'autorisation DNS:
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
Remplacez
AUTHORIZATION_NAME
par le nom de l'autorisation DNS cible.