Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat régional géré par Google sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional.
Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, associez le certificat directement au proxy cible.
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
Créez un certificat géré par Google, émis par une autorité de certification publiquement approuvée avec autorisation DNS, à l'aide du gestionnaire de certificats. Pour créer un certificat régional géré par Google, vous devez utiliser l'autorisation DNS par projet.
Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.
Pour en savoir plus sur le processus de déploiement de certificats, consultez la section Présentation du déploiement.
Avant de commencer
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Vous devez utiliser la Google Cloud CLI
465.0.0ou une version ultérieure pour déployer le certificat. Pour vérifier la version de votre gcloud CLI, exécutez la commande suivante:gcloud --versionPour mettre à jour la gcloud CLI, exécutez la commande suivante.
gcloud components updateAssurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: nécessaire pour créer et gérer un proxy cible HTTPS.
- Administrateur DNS: obligatoire si vous souhaitez utiliser Cloud DNS comme solution DNS.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
- Contrôle des accès avec IAM pour Cloud DNS
Créer un certificat régional géré par Google
Suivez les étapes de cette section pour créer une autorisation DNS et un certificat géré par Google qui référence cette autorisation DNS.
Créer une autorisation DNS
Créez l'autorisation DNS comme décrit dans cette section. Si vous créez une autorisation DNS pour un certificat générique, tel que *.myorg.example.com, configurez l'autorisation DNS pour le domaine parent, par exemple myorg.example.com.
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
--domain="DOMAIN_NAME" \
--type=PER_PROJECT_RECORD \
–-location="LOCATION" \
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \
-–location="LOCATION"
Remplacez les éléments suivants :
AUTHORIZATION_NAME: nom de l'autorisation DNS.DOMAIN_NAME: nom du domaine pour lequel vous créez cette autorisation DNS. Le nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com.LOCATION: emplacement dans lequel vous créez l'autorisation DNS.
La commande renvoie le résultat comme illustré dans l'exemple suivant. Utilisez l'enregistrement CNAME de la sortie pour l'ajouter à votre configuration DNS.
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog. name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/us-central1/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Ajouter l'enregistrement CNAME à votre configuration DNS
Si vous utilisez Google Cloud pour gérer votre DNS, suivez la procédure décrite dans cette section. Sinon, consultez la documentation de votre solution DNS tierce.
Avant de suivre les étapes de cette section, assurez-vous d'avoir créé une zone DNS publique.
Lorsque vous créez une autorisation DNS, la commande gcloud CLI renvoie l'enregistrement CNAME correspondant. Vous devez ajouter cet enregistrement CNAME à votre configuration DNS dans la zone DNS du domaine cible comme suit :
gcloud
Lancez la transaction d'enregistrement DNS :
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
Remplacez
DNS_ZONE_NAMEpar le nom de la zone DNS cible.Ajoutez l'enregistrement CNAME à la zone DNS cible :
gcloud dns record-sets transaction add CNAME_RECORD_DATA \ --name= CNAME_RECORD_NAME \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"
Remplacez les éléments suivants :
CNAME_RECORD_DATA: valeur de données complète de l'enregistrement CNAME renvoyé par la commande gcloud CLI qui a créé l'autorisation DNS correspondante.CNAME_RECORD_NAME: valeur du nom complet de l'enregistrement CNAME renvoyé par la commande gcloud CLI qui a créé l'autorisation DNS correspondante.DNS_ZONE_NAME: nom de la zone DNS cible.
Consultez l'exemple ci-dessous :
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog. \ --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com" \ --ttl="30" \ --type="CNAME" \ --zone="example-com"
Exécutez la transaction d'enregistrement DNS pour enregistrer vos modifications:
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
Remplacez
DNS_ZONE_NAMEpar le nom de la zone DNS cible.
Créer un certificat régional géré par Google faisant référence à l'autorisation DNS
Pour créer un certificat géré par Google qui référence l'autorisation DNS que vous avez créée aux étapes précédentes, procédez comme suit:
gcloud
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME: nom unique du certificat.DOMAIN_NAME: domaine cible du certificat. Le préfixe point (*.) correspond à un certificat avec caractère générique. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com.AUTHORIZATION_NAME: nom de l'autorisation DNS que vous avez créée pour ce certificat.LOCATION: emplacement dans lequel vous créez le certificat géré par Google.
Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. Un certificat de nom de domaine générique couvre tous les sous-domaines de premier niveau d'un domaine donné.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME: nom unique du certificat.DOMAIN_NAME: domaine cible du certificat. Le préfixe*.correspond à un certificat générique. Le nom de domaine doit être un nom de domaine complet (par exemple,myorg.example.com).AUTHORIZATION_NAME: nom de l'autorisation DNS que vous avez créée pour ce certificat.LOCATION: emplacement dans lequel vous créez le certificat géré par Google.
Vérifier que le certificat est actif
Utilisez la commande suivante pour vérifier que le certificat lui-même est actif avant de le déployer sur votre équilibreur de charge. Le passage de l'état du certificat à ACTIVE peut prendre plusieurs heures.
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
--location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME: nom unique du certificat.LOCATION: emplacement où vous avez créé le certificat géré par Google.
Le résultat ressemble à ce qui suit :
certificatePem: myPEM
createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
authorizationAttemptInfo:
- domain: myorg.example.com
state: AUTHORIZED
dnsAuthorizations:
- projects/my-project/locations/us-central1/dnsAuthorizations/myAuth
domains:
- myorg.example.com
state: ACTIVE
name: projects/myProject/locations/us-central1/certificates/myCert
scope: myScope
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'
Déployer le certificat sur un équilibreur de charge
Pour déployer le certificat géré par Google sur un équilibreur de charge, procédez comme suit.
Avant de poursuivre les tâches de cette section, assurez-vous d'avoir effectué les tâches indiquées dans la section Créer un certificat régional géré par Google.
Pour déployer un certificat régional géré par Google sur un équilibreur de charge d'application externe régional ou interne régional, déployez le certificat en l'associant directement au proxy cible.
Associer le certificat directement au proxy cible
Pour associer le certificat directement au proxy, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \
--url-map=URL_MAP \
--region=REGION \
--certificate-manager-certificates=CERTIFICATE_NAME
Remplacez les éléments suivants :
PROXY_NAME: nom unique du proxy.URL_MAP: nom du mappage d'URL que vous avez créé lors de la création de l'équilibreur de charge.REGION: région dans laquelle créer le proxy HTTPS cible.CERTIFICATE_NAME: nom du certificat.
Effectuer un nettoyage
Pour annuler les modifications effectuées dans ce tutoriel, procédez comme suit:
- Supprimez le certificat géré par Google:
gcloud certificate-manager certificates delete CERTIFICATE_NAME --location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME: nom du certificat.LOCATION: emplacement où vous avez créé le certificat géré par Google.
- Supprimez l'autorisation DNS:
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME --location=LOCATION
Remplacez les éléments suivants :
AUTHORIZATION_NAME: nom de l'autorisation DNS.LOCATION: emplacement dans lequel vous avez créé l'autorisation DNS.