In dieser Anleitung wird der Prozess der Zertifikatsbereitstellung mithilfe eines von Google verwalteten Zertifikats mit Load-Balancer beschrieben. Autorisierung als Beispiel.
Einen Vergleich der unterstützten Typen der Domainautorisierung finden Sie unter Domainautorisierung. Autorisierung.
Die folgenden Load-Balancer unterstützen von Google verwaltete Zertifikate mit Last Balancer-Autorisierung:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Globaler externer Proxy-Network Load Balancer
Wenn Sie ein vorhandenes Zertifikat zum Zertifikatmanager migrieren möchten, führen Sie die Schritte unter Zertifikate migrieren zu Zertifikatmanager.
Lernziele
In diesem Anleitung werden die folgenden Aufgaben erläutert:
- Erstellen Sie ein von Google verwaltetes Zertifikat, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde mit Load-Balancer-Autorisierung mithilfe des Zertifikatmanagers.
- Zertifikat mithilfe eines Ziel-HTTPS für einen unterstützten Load-Balancer bereitstellen Proxy.
Weitere Informationen zur Bereitstellung von Zertifikaten finden Sie unter Bereitstellung Übersicht.
Wenn Sie anhand der Schritte in dieser Anleitung ein Zertifikat für ein über die bereits Produktionstraffic bereitgestellt wird, denken Sie daran, dass der Traffic für wird diese Domain unterbrochen, während das Zertifikat bereitgestellt wird. auf dem entsprechenden Load-Balancer aktiviert ist.
Hinweise
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Sie benötigen die folgenden Rollen, um die Aufgaben in diesem Anleitung:
- Certificate Manager Owner (Inhaber des Zertifikatsmanagers): Erforderlich zum Erstellen und Zertifikatmanager-Ressourcen verwalten können.
- Administrator für Compute-Load-Balancer oder Compute-Netzwerkadministrator: Erforderlich zum Erstellen und Verwalten des HTTPS-Zielproxys.
- DNS-Administrator: Erforderlich, wenn Sie Cloud DNS als Ihren Dienst verwenden möchten DNS-Lösung
Hier finden Sie weitere Informationen:
- Rollen und Berechtigungen für Zertifikatmanager
- Compute Engine IAM-Rollen und Berechtigungen für Compute Engine
- Zugriffssteuerung mit IAM für Cloud DNS
Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung erstellen
So erstellen Sie ein von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung: führen Sie die Schritte in diesem Abschnitt aus.
Wenn Sie mehrere Domainnamen für das Zertifikat angeben möchten, geben Sie einen durch Kommas getrennten Namen ein Liste der Zieldomainnamen für das Zertifikat.
Weitere Informationen finden Sie unter Berechtigungen und Rollen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B.
myorg.example.com
.Wählen Sie als Autorisierungstyp die Option Load-Balancer-Autorisierung aus.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das add_box Label hinzufügen und legen Sie
key
undvalue
für das Label fest.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: Ein eindeutiger Name des Zertifikats.DOMAIN_NAMES
: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B.myorg.example.com
.
Terraform
google_certificate_manager_certificate
verwenden
Ressource.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
API
Erstellen Sie das Zertifikat, indem Sie eine POST
-Anfrage an den
certificates.create
-Methode so:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B.myorg.example.com
Eine Übersicht über den Prozess der Zertifikatsbereitstellung finden Sie unter Bereitstellung Übersicht.
Zertifikat für einen Load-Balancer bereitstellen
Führen Sie die Schritte in diesem Abschnitt aus, um das von Google verwaltete Zertifikat bereitzustellen, die in den vorherigen Schritten erstellt wurden.
Zertifikatzuordnung erstellen
Erstellen Sie eine Zertifikatszuordnung, die verweist auf die Zertifikatszuordnung einen Eintrag, der mit Ihrem Zertifikat.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Ersetzen Sie CERTIFICATE_MAP_NAME
durch den Namen des Ziels.
Zertifikatszuordnung.
Terraform
google_certificate_manager_certificate_map
verwenden
Ressource.
Eintrag für Zertifikatszuordnung erstellen
Zertifikatszuordnungseintrag erstellen und sie mit Ihren Zertifikat als und Ihre Zertifikatszuordnung.
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
: ein eindeutiger Name der Eintrag in ZertifikatszuordnungCERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung an den dieser Zertifikatszuordnungseintrag angehängt istCERTIFICATE_NAME
: der Name des Zertifikats, das Sie die mit diesem Zertifikatzuordnungseintrag verknüpft werden sollen.HOSTNAME
: der Hostname, den Sie verknüpfen möchten mit diesem Zertifikatzuordnungseintrag
Terraform
google_certificate_manager_certificate_map_entry
verwenden
Ressource.
Prüfen, ob der Zertifikatzuordnungseintrag aktiv ist
Prüfen Sie mit dem folgenden Befehl, ob der Eintrag der Zertifikatszuordnung aktiv ist, bevor Sie die entsprechende Zertifikatszuordnung an den Zielproxy anhängen:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
: der Name des Ziels Eintrag in ZertifikatszuordnungCERTIFICATE_MAP_NAME
: der Name des Zertifikats, das dem an diesen Zertifikatzuordnungseintrag angehängt wird
Die Ausgabe des Befehls sieht in etwa so aus:
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Zertifikatszuordnung an den Zielproxy anhängen
Hängen Sie die konfigurierte Zertifikatszuordnung an den Zielproxy an.
Console
- Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.
Notieren Sie sich den Namen des Zielproxys.
Hängen Sie die Zertifikatszuordnung an den Zielproxy an:
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
* `PROXY_NAME`: the name of the target proxy
* `CERTIFICATE_MAP_NAME`: the name of the certificate
map referencing your certificate map entry and its associated
certificate
Terraform
Wenn bereits direkt an den Proxy angehängte TLS/SSL-Zertifikate vorhanden sind, der Proxy bevorzugt die Zertifikate, auf die von der Zertifikatszuordnung verwiesen wird. über die direkt angehängten TLS/SSL-Zertifikate.
Warten, bis das Zertifikat aktiviert wurde
Nachdem Sie das Zertifikat an den Zielproxy angehängt haben, kann es bis zu
mehrere Stunden, bis das Zertifikat ausgestellt wird, und der Status ändert sich in
ACTIVE
Sobald der Status ACTIVE
lautet, kann es bis zu 30 Minuten dauern, bis der Ladevorgang abgeschlossen ist.
um das Zertifikat zu nutzen.
Verwenden Sie den folgenden Befehl, um den Status des Zertifikats zu prüfen:
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Ersetzen Sie CERTIFICATE_NAME
durch den Namen des Ziels.
Von Google verwaltetes Zertifikat.
Die Ausgabe des Befehls sieht in etwa so aus:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: authorizationAttemptInfo: - domain: myorg.example.com state: AUTHORIZED domains: - myorg.example.com state: ACTIVE name: projects/myProject/locations/global/certificates/myCert sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Wenn sich der Zertifikatstatus nach einigen Stunden nicht zu ACTIVE
geändert hat, prüfen Sie
Folgendes:
- Die Zertifikatszuordnung, die auf dieses Zertifikat verweist, wurde an die richtigen Zielproxy zu verwenden, wie unter Zertifikatszuordnung an einen Proxy anhängen beschrieben.
- Der Zielproxy wurde wie beschrieben an den richtigen Load-Balancer angehängt
im Abschnitt Ziel-Proxy überprüfen
Verknüpfung.
- Die DNS-Konfiguration der Zieldomain verweist auf die Ziellast. IP-Adresse des Load-Balancers, wie unter DNS-A- und AAAA-Einträge aktualisieren beschrieben um auf die IP-Adresse des Load-Balancers zu verweisen Adresse.
Weitere Schritte zur Fehlerbehebung finden Sie unter Fehlerbehebung bei SSL Zertifikate.
Bereinigen
Führen Sie die folgenden Schritte aus, um die Änderungen, die Sie in dieser Anleitung vorgenommen haben, rückgängig zu machen. Schritte:
Trennen Sie die Zertifikatszuordnung vom Proxy.
Beachten Sie Folgendes, bevor Sie die Zertifikatszuordnung trennen:
- Wenn TLS/SSL-Zertifikate direkt an den Proxy angehängt sind, Durch das Trennen der Zertifikatszuordnung kann der Proxy diese direkt angehängte TLS/SSL-Zertifikate.
- Wenn keine TLS/SSL-Zertifikate direkt an den Proxy angehängt sind, Die Zertifikatszuordnung kann nicht vom Proxy getrennt werden. Sie müssen zuerst mindestens ein TLS/SSL-Zertifikat direkt zum Proxy, die Zertifikatszuordnung trennen.
Führen Sie den folgenden Befehl aus, um die Zertifikatszuordnung zu trennen:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Löschen Sie den Zertifikatszuordnungseintrag aus der Zertifikatszuordnung:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
: der Name des Ziels Eintrag in ZertifikatszuordnungCERTIFICATE_MAP_NAME
: der Name des Ziels Zertifikatszuordnung
Löschen Sie die Zertifikatszuordnung:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Ersetzen Sie
CERTIFICATE_MAP_NAME
durch den Namen des Ziels. Zertifikatszuordnung.Löschen Sie das von Google verwaltete Zertifikat:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Ersetzen Sie
CERTIFICATE_NAME
durch den Namen des Ziels. Zertifikat.