このチュートリアルでは、例として DNS 認証で、グローバル Google マネージド証明書を使用する証明書のデプロイ プロセスについて説明します。
次のロードバランサは、DNS 承認を使用した Google マネージド証明書をサポートしています。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
サポートされているドメインの承認のタイプの比較については、ドメインの承認をご覧ください。
既存の証明書を Certificate Manager に移行する場合は、代わりに証明書を Certificate Manager に移行するの手順に従ってください。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- Certificate Manager を使用して、DNS 承認で公的に信頼できる認証局によって発行された Google マネージド証明書を作成します。
- ターゲット HTTPS プロキシを使用して、サポートされているロードバランサに証明書をデプロイします。
証明書のデプロイ プロセスの詳細については、デプロイの概要をご覧ください。
準備
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
証明書をデプロイするには、gcloud CLI バージョン
465.0.0
以降が必要です。gcloud CLI のバージョンを確認するには、次のコマンドを実行します。gcloud --version
gcloud CLI を更新するには、次のコマンドを実行します。
gcloud components update
このチュートリアルのタスクを完了するための次のロールがあることを確認してください。
- Certificate Manager オーナー: Certificate Manager リソースの作成と管理に必要です。
- Compute ロードバランサ管理者または Compute ネットワーク管理者: HTTPS ターゲット プロキシの作成と管理に必要です。
- DNS 管理者: DNS ソリューションとして Cloud DNS を使用する場合に必要です。
詳しくは以下をご覧ください。
- Certificate Manager のロールと権限
- Compute Engine の Compute Engine の IAM ロールと権限
- Cloud DNS の IAM を使用したアクセス制御
DNS 認証を使用して Google マネージド証明書を作成する
このセクションの手順を完了して、DNS 認証と、その DNS 認証を参照する Google マネージド証明書を作成します。
DNS 認証を作成する
このセクションの説明に沿って、DNS 認証を作成します。*.myorg.example.com
などのワイルドカード証明書の DNS 認証を作成する場合は、親ドメイン(myorg.example.com
など)の DNS 認証を構成します。
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
プロジェクト単位の DNS 認証(プレビュー)を使用するには、次のコマンドを実行します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
次のように置き換えます。
AUTHORIZATION_NAME
: DNS 認証の名前。DOMAIN_NAME
: この DNS 承認を作成するドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。
このコマンドでは、次のような出力が返されます。出力の CNAME レコードを使用して、DNS 構成に追加します。
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
DNS 認証を作成するには、google_certificate_manager_dns_authorization
リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
DNS 構成に CNAME レコードを追加する
Google Cloud を使用して DNS を管理している場合は、このセクションの手順に従ってください。それ以外の場合は、サードパーティ DNS ソリューションのドキュメントをご確認ください。
このセクションの手順を行う前に、パブリック DNS ゾーンが作成されていることを確認してください。
DNS 認証を作成するとき、gcloud CLI コマンドは対応する CNAME レコードを返します。次のように、この CNAME レコードをターゲット ドメインの DNS ゾーンの DNS 構成に追加する必要があります。
gcloud
- DNS レコード トランザクションを次のように開始します。
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME
は、ターゲット DNS ゾーンの名前に置き換えます。
- CNAME レコードをターゲット DNS ゾーンに追加します。
gcloud dns record-sets transaction add CNAME_RECORD \ --name="_acme-challenge.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
以下を置き換えます。
CNAME_RECORD
: 対応する DNS 認証を作成した Google Cloud CLI コマンドによって返される CNAME レコードの完全なデータ値。DOMAIN_NAME
: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。 また、ターゲット ドメイン名の後にピリオドを含める必要があります。DNS_ZONE_NAME
: ターゲット DNS ゾーンの名前。
次の例をご覧ください。
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"
- DNS レコード トランザクションを実行して変更を保存します。
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME
は、ターゲット DNS ゾーンの名前に置き換えます。
Terraform
CNAME レコードを DNS 構成に追加するには、google_dns_record_set
リソースを使用します。
DNS 認証を参照する Google マネージド証明書を作成する
前の手順で作成した DNS 認証を参照する Google マネージド証明書を作成するには、次の手順に従います。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
表示されたページで、[証明書] タブを選択します。
[証明書を追加] をクリックします。
証明書の名前を入力します。
この名前は、プロジェクト内で一意にする必要があります。
省略可: 証明書の [説明] を入力します。説明は、後で特定の証明書を識別するのに役立ちます。
[ロケーション] で [グローバル] を選択します。
[範囲] で、次のオプションのいずれかを選択します。
- デフォルト: グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサのデフォルトを選択します。
- All-regions: クロスリージョン内部アプリケーション ロードバランサのすべてのリージョンを選択します。
[証明書の種類] で [Google マネージド証明書を作成する] を選択します。
[認証局の種類] で [パブリック] を選択します。
証明書のドメイン名を指定します。ターゲット ドメインのカンマ区切りリストを入力します。また、各ドメイン名は完全修飾ドメイン名(
myorg.example.com
など)にする必要があります。[認証タイプ] で [DNS 認証] を選択します。ドメイン名に DNS 認証が関連付けられている場合は、自動的に取得されます。ドメイン名に DNS 認証が関連付けられていない場合は、次の操作を行います。
- [見つからない DNS 認証の作成] をクリックして [DNS 認証の作成] ダイアログを表示します。
- [DNS Authorization Name] フィールドに DNS 認証名を指定します。
- [DNS 認証の作成] をクリックします。DNS 名がドメイン名に関連付けられていることを確認します。
証明書に関連付けるラベルを指定します。必要に応じて複数のラベルを追加できます。ラベルを追加するには、[add_box ラベルの追加] ボタンをクリックして、ラベルの
key
とvalue
を指定します。[作成] をクリックします。新しい証明書が証明書のリストに表示されていることを確認します。
gcloud
グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME
--domains=DOMAIN_NAME
--dns-authorizations=AUTHORIZATION_NAME
次のように置き換えます。
CERTIFICATE_NAME
: 証明書の一意の名前。DOMAIN_NAME
: 証明書のターゲット ドメイン。 ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。AUTHORIZATION_NAME
: この証明書用に作成した DNS 承認の名前。
ワイルドカード ドメイン名を使用して Google マネージド証明書を作成するには、次のコマンドを使用します。ワイルドカード ドメイン名証明書は、特定のドメインのすべての第 1 レベル サブドメインに対応します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
次のように置き換えます。
CERTIFICATE_NAME
: 証明書の一意の名前。DOMAIN_NAME
: 証明書のターゲット ドメイン。アスタリスク ドット接頭辞(*.
)は、ワイルドカード証明書を示します。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。AUTHORIZATION_NAME
: この証明書用に作成した DNS 承認の名前。
クロスリージョン内部アプリケーション ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME
--domains=DOMAIN_NAME
--dns-authorizations=AUTHORIZATION_NAME
--scope=all-regions
次のように置き換えます。
CERTIFICATE_NAME
: 証明書の一意の名前。DOMAIN_NAME
: 証明書のターゲット ドメイン。 ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。AUTHORIZATION_NAME
: この証明書用に作成した DNS 承認の名前。
ワイルドカード ドメイン名を使用して Google マネージド証明書を作成するには、次のコマンドを使用します。ワイルドカード ドメイン名証明書は、特定のドメインのすべての第 1 レベル サブドメインに対応します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME \ --scope=all-regions
次のように置き換えます。
CERTIFICATE_NAME
: 証明書の一意の名前。DOMAIN_NAME
: 証明書のターゲット ドメイン。アスタリスク ドット接頭辞(*.
)は、ワイルドカード証明書を示します。ドメイン名は完全修飾ドメイン名(myorg.example.com
など)にする必要があります。AUTHORIZATION_NAME
: この証明書用に作成した DNS 承認の名前。
Terraform
証明書が有効であることを確認する
次のコマンドを使用して、証明書をロードバランサにデプロイする前に、証明書自体が有効であることを確認します。証明書の状態が ACTIVE
に変わるまで最長で数時間かかることがあります。
gcloud certificate-manager certificates describe CERTIFICATE_NAME
CERTIFICATE_NAME
は、ターゲット Google マネージド証明書の名前に置き換えます。
このコマンドでは、次のような出力が返されます。
expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED dnsAuthorizations: - projects/my-project/locations/global/dnsAuthorizations/myAuth domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/global/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
証明書をロードバランサにデプロイする
このセクションでは、Google マネージド証明書をロードバランサにデプロイするために必要な手順について説明します。
このセクションのタスクに進む前に、DNS 認証を使用して Google マネージド証明書を作成するに記載されているタスクを完了していることを確認してください。
ロードバランサの種類に応じて、証明書を次のようにデプロイできます。
- 次のロードバランサでは、証明書マップを使用して証明書をデプロイします。
- グローバル外部アプリケーション ロードバランサ
- グローバルな外部プロキシ ネットワーク ロードバランサ
- 従来のアプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサの場合は、ターゲット プロキシに証明書を直接関連付けることで証明書をデプロイします。
証明書マップを使用して証明書をデプロイする
このセクションでは、証明書マップを使用して証明書をデプロイする手順について説明します。
証明書マップを作成する
証明書に関連付けられた証明書マップエントリを参照する証明書マップを作成します。
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAME
は、ターゲット証明書マップの名前に置き換えます。
Terraform
証明書マップを作成するには、google_certificate_manager_certificate_map
リソースを使用します。
証明書マップ エントリを作成する
証明書マップエントリを作成し、証明書および証明書マップに関連付けます。
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
以下を置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: 証明書マップエントリの一意の名前CERTIFICATE_MAP_NAME
: この証明書マップエントリが添付されている証明書マップの名前CERTIFICATE_NAME
: この証明書マップエントリに関連付ける証明書の名前HOSTNAME
: この証明書マップエントリに関連付けるホスト名
Terraform
証明書マップ エントリを作成するには、google_certificate_manager_certificate_map_entry
リソースを使用します。
証明書マップエントリが有効であることを確認する
次のコマンドを使用して、対応する証明書マップをターゲット プロキシに添付する前に、証明書マップエントリがアクティブであることを確認します。
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: ターゲット証明書マップエントリの名前CERTIFICATE_MAP_NAME
: この証明書マップエントリが添付されている証明書マップの名前
このコマンドでは、次のような出力が返されます。
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
証明書マップをターゲット プロキシに添付する
構成した証明書マップを目的のターゲット プロキシに添付します。
gcloud
Google Cloud コンソールで、[ターゲット プロキシ] ページに移動します。
ターゲット プロキシの名前に注意します。
証明書マップをターゲット プロキシに添付する
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --global
次のように置き換えます。
PROXY_NAME
: ターゲット プロキシの名前CERTIFICATE_MAP_NAME
: 証明書マップエントリを参照する証明書マップの名前と、関連する証明書
Terraform
証明書マップをターゲット プロキシに接続するには、google_compute_target_https_proxy
リソースを使用します。
既存の TLS(SSL)証明書がプロキシに直接添付されている場合、プロキシは、直接添付されている TLS(SSL)証明書よりも、証明書マップによって参照される証明書を優先します。
証明書をターゲット プロキシに直接添付する
証明書をプロキシに直接添付するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
次のように置き換えます。
PROXY_NAME
: プロキシの一意の名前。URL_MAP
: URL マップの名前。ロードバランサの作成時に URL マップを作成しました。CERTIFICATE_NAME
: 証明書の名前。
クリーンアップ
このチュートリアルで行った変更を元に戻すには、次の手順を行います。
プロキシから証明書マップを切断します。
証明書マップを切断する前に、次の点に注意してください。
- プロキシに直接 TLS(SSL)証明書が添付されていた場合、証明書マップを切断すると、プロキシは直接添付された TLS(SSL)証明書を使用して再開します。
- プロキシに直接 TLS(SSL)証明書が添付されていない場合、証明書マップをプロキシから切断することはできません。証明書マップを切断するには、まず少なくとも 1 つの TLS(SSL)証明書をプロキシに直接添付する必要があります。
証明書マップを切断するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
PROXY_NAME
は、ターゲット プロキシの名前に置き換えます。証明書マップから証明書マップエントリを削除します。
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME
: ターゲット証明書マップエントリの名前CERTIFICATE_MAP_NAME
: ターゲット証明書マップの名前
証明書マップを削除します。
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAME
は、ターゲット証明書マップの名前に置き換えます。Google マネージド証明書を削除します。
gcloud certificate-manager certificates delete CERTIFICATE_NAME
CERTIFICATE_NAME
は、ターゲット証明書の名前に置き換えます。DNS 認証を削除します。
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
AUTHORIZATION_NAME
は、ターゲット DNS 認証の名前に置き換えます。