Déployer un certificat régional géré par Google

Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat régional géré par Google sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional.

Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, associez le certificat directement au proxy cible.

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

  • À l'aide du gestionnaire de certificats, créez un certificat géré par Google, délivré par une autorité de certification de confiance publique avec autorisation DNS. Pour créer un certificat régional géré par Google, vous devez utiliser l'autorisation DNS par projet.

  • Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement du certificat, consultez la section Présentation du déploiement.

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. La version 465.0.0 ou ultérieure de la Google Cloud CLI est requise pour déployer le certificat. Pour vérifier votre version de gcloud CLI, exécutez la commande suivante:

    gcloud --version

  3. Pour mettre à jour la gcloud CLI, exécutez la commande suivante.

    gcloud components update

  4. Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:

    • Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer des ressources du gestionnaire de certificats.
    • Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: obligatoire pour créer et gérer un proxy cible HTTPS.
    • Administrateur DNS: obligatoire si vous souhaitez utiliser Cloud DNS comme solution DNS.

    Pour en savoir plus, consultez les ressources suivantes :

Créer un certificat régional géré par Google

Suivez la procédure décrite dans cette section pour créer une autorisation DNS et un certificat géré par Google faisant référence à cette autorisation DNS.

Créer une autorisation DNS

Créez l'autorisation DNS comme décrit dans cette section. Si vous créez une autorisation DNS pour un certificat générique, tel que *.myorg.example.com, configurez l'autorisation DNS pour le domaine parent (par exemple, myorg.example.com).

gcloud 

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type=PER_PROJECT_RECORD \
    --location="LOCATION"

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \
    --location="LOCATION"

Remplacez les éléments suivants :

  • AUTHORIZATION_NAME: nom de l'autorisation DNS.
  • DOMAIN_NAME: nom du domaine pour lequel vous créez cette autorisation DNS. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • LOCATION: emplacement où vous créez l'autorisation DNS.

La commande renvoie un résultat, comme illustré dans l'exemple suivant. Utilisez l'enregistrement CNAME de la sortie pour l'ajouter à votre configuration DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog.
name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com.
type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/us-central1/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Ajouter l'enregistrement CNAME à votre configuration DNS

Si vous utilisez Google Cloud pour gérer votre DNS, suivez la procédure décrite dans cette section. Sinon, consultez la documentation de votre solution DNS tierce.

Avant d'effectuer les étapes de cette section, assurez-vous d'avoir créé une zone DNS publique.

Lorsque vous créez une autorisation DNS, la commande de gcloud CLI renvoie l'enregistrement CNAME correspondant. Vous devez ajouter cet enregistrement CNAME à votre configuration DNS dans la zone DNS du domaine cible comme suit :

gcloud

  1. Lancez la transaction d'enregistrement DNS :

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    Remplacez DNS_ZONE_NAME par le nom de la zone DNS cible.

  2. Ajoutez l'enregistrement CNAME à la zone DNS cible :

    gcloud dns record-sets transaction add CNAME_RECORD_DATA \
  --name= "CNAME_RECORD_NAME" \
  --ttl="30" \
  --type="CNAME" \
  --zone="DNS_ZONE_NAME"

    Remplacez les éléments suivants :

    • CNAME_RECORD_DATA: valeur de données complète de l'enregistrement CNAME renvoyé par la commande de gcloud CLI qui a créé l'autorisation DNS correspondante.
    • CNAME_RECORD_NAME: valeur du nom complet de l'enregistrement CNAME renvoyé par la commande de gcloud CLI qui a créé l'autorisation DNS correspondante.
    • DNS_ZONE_NAME: nom de la zone DNS cible.

    Consultez l'exemple ci-dessous :

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.us-central1.authorize.certificatemanager.goog. \
  --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com" \
  --ttl="30" \
  --type="CNAME" \
  --zone="example-com"

  3. Exécutez la transaction d'enregistrement DNS pour enregistrer vos modifications:

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    Remplacez DNS_ZONE_NAME par le nom de la zone DNS cible.

Créer un certificat régional géré par Google faisant référence à l'autorisation DNS

Pour créer un certificat géré par Google qui référence l'autorisation DNS que vous avez créée aux étapes précédentes, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Certificats.

  3. Cliquez sur Ajouter un certificat.

  4. Saisissez un nom pour le certificat.

    Ce nom doit être unique au projet.

  5. Facultatif: saisissez la description du certificat. La description vous aidera ultérieurement à identifier un certificat spécifique.

  6. Dans le champ Emplacement, sélectionnez Régional.

  7. Dans la liste Région, sélectionnez une région.

  8. Pour Type de certificat, sélectionnez Créer un certificat géré par Google.

  9. Dans le champ Type d'autorité de certification, sélectionnez Public.

  10. Indiquez les noms de domaine du certificat. Saisissez la liste des domaines cibles, séparés par une virgule. En outre, chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.

  11. Dans Type d'autorisation, sélectionnez Autorisation DNS. Si le nom de domaine est associé à une autorisation DNS, il sera automatiquement récupéré. Si le nom de domaine n'est associé à aucune autorisation DNS, procédez comme suit:

    1. Cliquez sur Créer une autorisation DNS manquante pour afficher la boîte de dialogue Créer une autorisation DNS.
    2. Dans le champ Nom d'autorisation DNS, spécifiez le nom de l'autorisation DNS.
    3. Cliquez sur Créer une autorisation DNS. Vérifiez que le nom DNS est associé au nom de domaine.

  12. Spécifiez une étiquette à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs étiquettes. Pour ajouter un libellé, cliquez sur le bouton Ajouter une étiquette , puis spécifiez les paramètres key et value pour votre libellé.

  13. Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Exécutez la commande ci-dessous.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains=DOMAIN_NAME \
    --dns-authorizations=AUTHORIZATION_NAME \
    --location=LOCATION

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom unique du certificat.
  • DOMAIN_NAME: domaine cible du certificat Le préfixe à point (*.) indique un certificat générique. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • AUTHORIZATION_NAME: nom de l'autorisation DNS que vous avez créée pour ce certificat.
  • LOCATION: emplacement où vous créez le certificat géré par Google.

Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. Un certificat de nom de domaine générique couvre tous les sous-domaines de premier niveau d'un domaine donné.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom unique du certificat.
  • DOMAIN_NAME: domaine cible du certificat Le préfixe *. correspond à un certificat générique. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • AUTHORIZATION_NAME: nom de l'autorisation DNS que vous avez créée pour ce certificat.
  • LOCATION: emplacement où vous créez le certificat géré par Google.

Vérifier que le certificat est actif

Utilisez la commande suivante pour vérifier que le certificat lui-même est actif avant de le déployer sur votre équilibreur de charge. Il peut s'écouler plusieurs heures avant que l'état du certificat ne passe à ACTIVE.

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom unique du certificat.
  • LOCATION: emplacement où vous avez créé le certificat géré par Google.

Le résultat ressemble à ce qui suit :

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  dnsAuthorizations:
  -  projects/my-project/locations/us-central1/dnsAuthorizations/myAuth
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/us-central1/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Déployer le certificat sur un équilibreur de charge

Pour déployer le certificat géré par Google sur un équilibreur de charge, procédez comme suit.

Avant de passer aux tâches de cette section, assurez-vous d'avoir effectué les tâches indiquées dans la section Créer un certificat régional géré par Google.

Pour déployer un certificat régional géré par Google sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, déployez le certificat en l'associant directement au proxy cible.

Associer le certificat directement au proxy cible

Pour associer le certificat directement au proxy, exécutez la commande suivante:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROXY_NAME: nom unique du proxy.
  • URL_MAP: nom du mappage d'URL que vous avez créé lors de la création de l'équilibreur de charge.
  • REGION: région dans laquelle créer le proxy cible HTTPS.
  • CERTIFICATE_NAME: nom du certificat.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, procédez comme suit:

  1. Supprimez le certificat géré par Google : 
    gcloud certificate-manager certificates delete CERTIFICATE_NAME
   --location=LOCATION
    Remplacez les éléments suivants:
  • CERTIFICATE_NAME: nom du certificat.
  • LOCATION: emplacement où vous avez créé le certificat géré par Google.
  1. Supprimez l'autorisation DNS : 
    gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
   --location=LOCATION
    Remplacez les éléments suivants:
  • AUTHORIZATION_NAME: nom de l'autorisation DNS.
  • LOCATION: emplacement où vous avez créé l'autorisation DNS.

Étapes suivantes