Esegui il deployment di un certificato autogestito tra regioni


Questo tutorial mostra come utilizzare Certificate Manager per eseguire il deployment di un certificato autogestito globale in un bilanciatore del carico delle applicazioni interno tra regioni.

Se vuoi eseguire il deployment su bilanciatori del carico esterni globali o bilanciatori del carico regionali, consulta quanto segue:

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Carica un certificato autogestito in Gestore certificati.
  • Esegui il deployment del certificato in un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init

Ruoli obbligatori

Per completare le attività di questo tutorial, assicurati di disporre dei seguenti ruoli:

  • Proprietario di Certificate Manager (roles/certificatemanager.owner)

    Obbligatorio per creare e gestire le risorse di Certificate Manager.

  • Amministratore bilanciatore del carico Compute (roles/compute.loadBalancerAdmin) o Amministratore rete Compute (roles/compute.networkAdmin)

    Obbligatorio per creare e gestire il proxy di destinazione HTTPS.

Per ulteriori informazioni, consulta le seguenti risorse:

Crea il bilanciatore del carico

Questo tutorial presuppone che tu abbia già creato e configurato i backend, i controlli di integrità, i servizi di backend e le mappe URL del bilanciatore del carico. Prendi nota del nome della mappa di URL, perché ti servirà più avanti in questo tutorial.

Se non hai creato un bilanciatore del carico delle applicazioni interno tra regioni, consulta Configurare un bilanciatore del carico delle applicazioni interno tra regioni con backend di gruppi di istanze VM.

Creare una chiave privata e un certificato

Per creare una chiave privata e un certificato:

  1. Utilizza un'autorità di certificazione (CA) di terze parti attendibile per emettere il certificato insieme alla chiave associata.

  2. Verifica che il certificato sia correttamente collegato e considerato attendibile a livello di radice.

  3. Prepara i seguenti file con codifica PEM:

    • Il file del certificato (CRT)
    • Il file della chiave privata corrispondente (KEY)

Per informazioni su come richiedere e convalidare un certificato, vedi Creare una chiave privata e un certificato.

Caricare un certificato autogestito in Gestore certificati

Per caricare il certificato in Gestore dei certificati:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale.

  6. In Ambito, seleziona Tutte le regioni.

  7. In Tipo di certificato, seleziona Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.
  9. Per il campo Certificato chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.
  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  11. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato autogestito tra regioni, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome del file della chiave privata KEY.

Terraform

Per caricare un certificato con gestione indipendente, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: la chiave PEM.

Esegui il deployment del certificato autogestito su un bilanciatore del carico

Per eseguire il deployment del certificato autogestito globale, aggancialo direttamente al proxy di destinazione.

Allega il certificato direttamente al proxy di destinazione

Puoi allegare il certificato a un nuovo proxy di destinazione o a uno esistente.

Per collegare il certificato a un nuovo proxy target, utilizza il gcloud compute target-https-proxies create comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Sostituisci quanto segue:

  • PROXY_NAME: il nome del proxy di destinazione.
  • URL_MAP: il nome della mappa di URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.
  • CERTIFICATE_NAME: il nome del certificato.

Per collegare il certificato a un proxy HTTPS di destinazione esistente, utilizza il gcloud compute target-https-proxies update comando. Se non conosci il nome del proxy di destinazione esistente, vai alla pagina Proxy di destinazione e prendi nota del nome del proxy di destinazione.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Dopo aver creato o aggiornato il proxy di destinazione, esegui il seguente comando per verificarlo:

gcloud compute target-https-proxies list

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il certificato caricato:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

Se non prevedi di utilizzare il bilanciatore del carico, eliminalo e le relative risorse. Consulta Pulire la configurazione di un bilanciatore del carico.

Passaggi successivi