Ce tutoriel explique comment utiliser le Gestionnaire de certificats pour déployer un certificat mondial géré par Google avec une autorisation DNS.
Les équilibreurs de charge mondiaux suivants sont compatibles avec les certificats gérés par Google avec autorisation DNS:
- Équilibreur de charge d'application externe global
- Équilibreur de charge d'application classique
- Équilibreur de charge réseau proxy externe global
Si vous souhaitez déployer sur des équilibreurs de charge interrégionaux ou régionaux, consultez les ressources suivantes:
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
- Créez un certificat géré par Google émis par une autorité de certification publique approuvée avec une autorisation DNS à l'aide du gestionnaire de certificats.
- Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Créer une zone DNS publique
Rôles requis
Pour effectuer les tâches de ce tutoriel, assurez-vous de disposer des rôles suivants:
Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner
)Nécessaire pour créer et gérer des ressources du Gestionnaire de certificats.
Administrateur de l'équilibreur de charge Compute (
roles/compute.loadBalancerAdmin
) ou administrateur réseau Compute (roles/compute.networkAdmin
)Obligatoire pour créer et gérer le proxy HTTPS cible.
Administrateur DNS (
roles/dns.admin
)Obligatoire si vous souhaitez utiliser Cloud DNS comme solution DNS.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le Gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine.
- Rôles et autorisations pour Cloud DNS
Noms de domaine
Pour créer des certificats, obtenez les noms de domaine complets (FQDN) des domaines que vous possédez. Si vous ne possédez pas de domaine, vous pouvez en enregistrer un à l'aide de Cloud Domains.
Créer l'équilibreur de charge
Ce tutoriel suppose que vous avez déjà créé et configuré les backends, les vérifications d'état, les services de backend et les mappages d'URL de l'équilibreur de charge. Si vous avez créé un équilibreur de charge d'application externe, notez le nom du mappage d'URL, car vous en aurez besoin plus tard dans ce tutoriel.
Si vous n'avez pas créé l'équilibreur de charge, consultez les pages suivantes pour en créer un:
Pour créer un équilibreur de charge d'application externe global, consultez Configurer un équilibreur de charge d'application externe global avec des backends de groupe d'instances de VM.
Pour créer un équilibreur de charge d'application classique, consultez Configurer un équilibreur de charge d'application classique avec un backend de groupe d'instances géré.
Pour créer un équilibreur de charge réseau proxy externe global (proxy SSL), consultez la page Configurer un équilibreur de charge réseau proxy externe global (proxy SSL) avec des backends de groupe d'instances de VM.
Pour créer un équilibreur de charge réseau proxy classique (proxy SSL), consultez Configurer un équilibreur de charge réseau proxy classique (proxy SSL) avec des backends de groupes d'instances de VM.
Créer un certificat géré par Google avec une autorisation DNS
Avant de créer le certificat, créez une zone DNS publique. Créez ensuite une autorisation DNS et ajoutez l'enregistrement CNAME à la zone DNS cible.
Créer une autorisation DNS
Une autorisation DNS ne couvre qu'un seul nom de domaine. Vous devez créer une autorisation DNS distincte pour chaque nom de domaine que vous souhaitez utiliser avec le certificat cible.
Si vous créez une autorisation DNS pour un certificat générique, tel que *.myorg.example.com
, configurez l'autorisation DNS pour le domaine parent (par exemple, myorg.example.com
).
Console
Vous pouvez créer une autorisation DNS ou associer une autorisation DNS existante lorsque vous créez un certificat. Pour en savoir plus, consultez la section Créer un certificat géré par Google faisant référence à l'autorisation DNS.
gcloud
Pour créer une autorisation DNS, utilisez la commande certificate-manager
dns-authorizations create
:
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME"
Remplacez les éléments suivants :
AUTHORIZATION_NAME
: nom de l'autorisation DNS.DOMAIN_NAME
: nom du domaine cible pour lequel vous créez cette autorisation DNS. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.
Les certificats gérés par Google globaux utilisent FIXED_RECORD
comme type d'autorisation DNS par défaut. Pour utiliser l'autorisation DNS PER_PROJECT_RECORD
, exécutez la commande suivante:
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD"
Après avoir créé l'autorisation DNS, vérifiez-la à l'aide de la commande certificate-manager dns-authorizations describe
:
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \
Le résultat renvoyé ressemble à ceci : Dans la sortie, recherchez la ligne dnsResourceRecord
et récupérez l'enregistrement CNAME
(data
, name
et type
) à ajouter à votre configuration DNS.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
Pour créer une autorisation DNS, vous pouvez utiliser une ressource google_certificate_manager_dns_authorization
.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
API
Pour créer une autorisation DNS, envoyez une requête POST
à la méthode dnsAuthorizations.create
:
POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME" { "domain": "DOMAIN_NAME", "type": "PER_PROJECT_RECORD" //optional }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.AUTHORIZATION_NAME
: nom de l'autorisation DNS.DOMAIN_NAME
: nom du domaine cible pour lequel vous créez cette autorisation DNS. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.
Créer un certificat géré par Google faisant référence à l'autorisation DNS
Pour créer un certificat géré par Google qui référence l'autorisation DNS que vous avez créée lors des étapes précédentes, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Certificats, cliquez sur Ajouter un certificat.
Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.
Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.
Dans Emplacement, sélectionnez Mondial.
Pour Champ d'application, sélectionnez Par défaut.
Dans Type de certificat, sélectionnez Créer un certificat géré par Google.
Dans le champ Type d'autorité de certification, sélectionnez Publique.
Dans le champ Noms de domaine, spécifiez une liste de noms de domaine du certificat, séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, par exemple
myorg.example.com
. Le nom de domaine peut également être un nom de domaine générique, tel que*.example.com
.Dans Type d'autorisation, sélectionnez Autorisation DNS.
La page répertorie les autorisations DNS des noms de domaine. Si un nom de domaine n'est pas associé à une autorisation DNS, procédez comme suit pour en créer une:
- Cliquez sur Créer une autorisation DNS manquante.
- Dans le champ Nom de l'autorisation DNS, spécifiez le nom de l'autorisation DNS.
Le type d'autorisation DNS par défaut est
FIXED_RECORD
. Pour gérer indépendamment les certificats dans plusieurs projets, cochez la case Autorisation par projet. - Cliquez sur Créer une autorisation DNS.
Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur
Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.Cliquez sur Créer.
Le nouveau certificat apparaît dans la liste des certificats.
gcloud
Pour créer un certificat géré par Google global avec une autorisation DNS, exécutez la commande certificate-manager certificates create
avec l'option dns-authorizations
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME, *.DOMAIN_NAME" \ --dns-authorizations="AUTHORIZATION_NAMES"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom du certificat.DOMAIN_NAME
: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
, ou un domaine comportant des caractères génériques, tel que*.myorg.example.com
. Le préfixe astérisque-point(*.)
indique un certificat générique.AUTHORIZATION_NAMES
: liste des noms des autorisations DNS que vous avez créées pour le certificat, séparés par une virgule.
Terraform
Utilisez une ressource google_certificate_manager_certificate
.
API
Créez le certificat en envoyant une requête POST
à la méthode certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.CERTIFICATE_NAME
: nom du certificat.DOMAIN_NAME
: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
, ou un domaine comportant des caractères génériques, tel que*.myorg.example.com
. Le préfixe astérisque-point (*.) indique un certificat générique.AUTHORIZATION_NAMES
: liste des noms des autorisations DNS, séparés par une virgule.
Ajouter l'enregistrement CNAME à votre configuration DNS
Si vous utilisez une solution DNS tierce pour gérer votre DNS, consultez sa documentation pour ajouter l'enregistrement CNAME à la configuration DNS. Si vous utilisezGoogle Cloud pour gérer votre DNS, suivez les étapes décrites dans cette section.
Console
Pour créer un jeu d'enregistrements, procédez comme suit :
Dans la console Google Cloud, accédez à la page Zones DNS.
Cliquez sur le nom de la zone DNS à laquelle vous souhaitez ajouter l'enregistrement.
Sur la page Détails de la zone, cliquez sur Ajouter un jeu d'enregistrements standard.
Sur la page Créer un jeu d'enregistrements, dans le champ Nom DNS, saisissez le sous-domaine de la zone DNS.
Lorsque vous saisissez le nom du sous-domaine, assurez-vous qu'il correspond à la valeur complète du champ
dnsResourceRecord.name
, y compris le texte grisé affiché dans le champ Nom DNS, comme indiqué dans la sortie de la commandegcloud certificate-manager dns-authorizations describe
.Consultez les exemples suivants :
Si la valeur du champ
dnsResourceRecord.name
est_acme-challenge.myorg.example.com.
et que le texte grisé du champ Nom DNS est.example.com.
, saisissez_acme-challenge.myorg
.Si la valeur du champ
dnsResourceRecord.name
est_acme-challenge.myorg.example.com.
et que le texte grisé dans le champ Nom DNS est.myorg.example.com.
, saisissez_acme-challenge
.Si la valeur du champ
dnsResourceRecord.name
est_acme-challenge_ujmmovf2vn55tgye.myorg.example.com.
et que le texte grisé du champ Nom DNS est.myorg.example.com.
, saisissez_acme-challenge_ujmmovf2vn55tgye
.
Dans le champ Type d'enregistrement de la ressource, sélectionnez CNAME.
Dans le champ TTL, saisissez une valeur numérique positive correspondant à la durée de vie (Time To Live) de l'enregistrement de la ressource, c'est-à-dire le délai pendant lequel il peut être mis en cache.
Dans la liste Unité TTL, sélectionnez l'unité de temps (par exemple,
30 minutes
).Dans le champ Nom canonique, saisissez la valeur complète du champ
dnsResourceRecord.data
, comme indiqué dans la sortie de la commandegcloud certificate-manager dns-authorizations describe
.Pour saisir des informations supplémentaires, cliquez sur Ajouter un élément.
Cliquez sur Créer.
gcloud
Lorsque vous créez une autorisation DNS, la commande gcloud CLI renvoie l'enregistrement CNAME correspondant. Pour ajouter l'enregistrement CNAME à votre configuration DNS dans la zone DNS du domaine cible, procédez comme suit:
Lancez la transaction d'enregistrement DNS :
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
Remplacez
DNS_ZONE_NAME
par le nom de la zone DNS cible.Ajoutez l'enregistrement CNAME à la zone DNS cible :
gcloud dns record-sets transaction add CNAME_RECORD \ --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
Remplacez les éléments suivants :
CNAME_RECORD
: valeur de données complète de l'enregistrement CNAME renvoyé par la commande Google Cloud CLI qui a créé l'autorisation DNS correspondante.VALIDATION_SUBDOMAIN_NAME
: sous-domaine du préfixe de la zone DNS, tel que_acme-challenge
. Vous pouvez copier le nom à partir du journal de commandesgcloud certificate-manager dns-authorizations describe
, comme décrit dans la section Créer une autorisation DNS.DOMAIN_NAME
: nom du domaine cible.Le nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com
. Vous devez également inclure le point final après le nom de domaine cible.DNS_ZONE_NAME
: nom de la zone DNS cible.
Consultez l'exemple ci-dessous :
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"
Exécutez la transaction d'enregistrement DNS pour enregistrer vos modifications:
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
Remplacez
DNS_ZONE_NAME
par le nom de la zone DNS cible.
Terraform
Pour ajouter l'enregistrement CNAME à votre configuration DNS, vous pouvez utiliser une ressource google_dns_record_set
.
Vérifier l'état du certificat
Avant de déployer un certificat sur un équilibreur de charge, vérifiez qu'il est actif. Le passage de l'état du certificat à ACTIVE
peut prendre plusieurs minutes.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Certificates (Certificats), vérifiez la colonne Status (État) du certificat.
gcloud
Pour vérifier l'état du certificat, exécutez la commande suivante:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Remplacez CERTIFICATE_NAME
par le nom du certificat géré par Google cible.
Le résultat ressemble à ce qui suit :
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED dnsAuthorizations: - projects/myProject/locations/global/dnsAuthorizations/myCert domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/global/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Si l'état du certificat n'est pas ACTIVE
au bout de plusieurs heures, vérifiez que vous avez correctement ajouté l'enregistrement CNAME
à votre configuration DNS.
Pour connaître la procédure de dépannage, consultez la section Dépannage du Gestionnaire de certificats.
Déployer le certificat sur un équilibreur de charge
Pour déployer un certificat géré par Google global, déployez-le à l'aide d'un mappage de certificats.
Créer un mappage de certificat
Créez un mappage de certificat qui fait référence à l'entrée de mappage de certificat associée à votre certificat:
gcloud
Pour créer une mise en correspondance de certificats, exécutez la commande gcloud certificate-manager maps create
:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Remplacez CERTIFICATE_MAP_NAME
par le nom du mappage de certificat cible.
Terraform
Pour créer un mappage de certificats, vous pouvez utiliser une ressource google_certificate_manager_certificate_map
.
Créer une entrée de mappage de certificat
Créez une entrée de mappage de certificat et associez-la à votre certificat et à votre mappage de certificat:
gcloud
Pour créer une entrée de mappage de certificats, exécutez la commande gcloud certificate-manager maps entries create
:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de la carte de certificat.CERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée.CERTIFICATE_NAME
: nom du certificat que vous souhaitez associer à l'entrée de mappage de certificat.HOSTNAME
: nom d'hôte que vous souhaitez associer à l'entrée de mappage de certificats.Si vous créez des certificats avec un domaine générique, spécifiez également le nom d'hôte avec un caractère générique, tel que
*.example.com
.
Terraform
Pour créer une entrée de mappage de certificats, vous pouvez utiliser une ressource google_certificate_manager_certificate_map_entry
.
Vérifier que l'entrée de mappage de certificat est active
Vérifiez que l'entrée de mappage de certificat est active avant d'associer le mappage de certificat correspondant au proxy cible.
Pour vérifier l'entrée de mappage de certificat, utilisez la commande gcloud certificate-manager maps entries describe
:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de la carte de certificat.CERTIFICATE_NAME
: nom du certificat que vous souhaitez associer à l'entrée de mappage de certificat.
Le résultat ressemble à ce qui suit :
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Associer le mappage de certificats au proxy cible
Vous pouvez associer la carte de certificats à un nouveau proxy cible ou à un proxy cible existant.
gcloud
Pour associer le mappage de certificats à un nouveau proxy cible, utilisez la commande gcloud compute target-https-proxies create
:
gcloud compute target-https-proxies create PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --url-map="URL_MAP" \ --global
Remplacez les éléments suivants :
PROXY_NAME
: nom du proxy cible.CERTIFICATE_MAP_NAME
: nom du mappage de certificat faisant référence à l'entrée de mappage de certificat et au certificat associé.URL_MAP
: nom du mappage d'URL
Pour associer le mappage de certificats à un proxy HTTPS cible existant, utilisez la commande gcloud compute target-https-proxies update
. Si vous ne connaissez pas le nom du proxy cible existant, accédez à la page Proxys cibles et notez le nom du proxy cible.
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME" \ --global
Après avoir créé ou mis à jour le proxy cible, exécutez la commande suivante pour le vérifier:
gcloud compute target-https-proxies list
Terraform
Pour associer la carte de certificat au proxy cible, vous pouvez utiliser une ressource google_compute_target_https_proxy
.
Lorsque vous configurez un proxy cible, si vous joignez des certificats TLS (SSL) directement et également via un mappage de certificats, le proxy utilise les certificats référencés par le mappage de certificats et ignore les certificats TLS (SSL) joints directement.
Effectuer un nettoyage
Pour éviter que les ressources utilisées dans ce tutoriel ne soient facturées sur votre compte Google Cloud , supprimez-les.
Supprimez l'équilibreur de charge et ses ressources.
Consultez la section Nettoyer une configuration d'équilibrage de charge
Supprimez ou dissociez le mappage de certificats du proxy.
Pour supprimer la mise en correspondance des certificats, exécutez la commande suivante:
gcloud compute target-https-proxies delete PROXY_NAME
Si vous souhaitez conserver le proxy HTTPS cible, dissociez le mappage de certificats du proxy. Avant de dissocier la carte de certificat, tenez compte des points suivants:
- Si des certificats TLS (SSL) sont associés directement au proxy, le fait de détacher la carte de certificats entraîne la reprise de l'utilisation de ces certificats TLS (SSL) directement associés par le proxy.
- Si aucun certificat TLS (SSL) n'est associé directement au proxy, la carte de certificats ne peut pas être dissociée du proxy. Vous devez d'abord associer au moins un certificat TLS (SSL) directement au proxy avant de pouvoir dissocier la carte de certificat.
Pour dissocier la carte de certificat, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Remplacez
PROXY_NAME
par le nom du proxy cible.Supprimez l'entrée de mappage de certificat du mappage de certificat:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de la carte de certificat.CERTIFICATE_MAP_NAME
: nom du mappage de certificats.
Supprimez le mappage de certificat:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Remplacez
CERTIFICATE_MAP_NAME
par le nom du mappage de certificat.Supprimez le certificat géré par Google:
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Certificats, cochez la case du certificat.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Remplacez
CERTIFICATE_NAME
par le nom du certificat cible.Supprimez l'autorisation DNS:
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
Remplacez
AUTHORIZATION_NAME
par le nom de l'autorisation DNS.