Questa pagina è stata tradotta dall'API Cloud Translation.

Esegui il deployment di un certificato autogestito a livello di regione

Questo tutorial descrive come utilizzare Gestore certificati per eseguire il deployment di un certificato autogestito in un Application Load Balancer esterno regionale o in un Application Load Balancer interno regionale.

Per eseguire il deployment di un certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un Application Load Balancer interno regionale, collega il certificato direttamente al proxy di destinazione. Per eseguire il deployment di un certificato in un bilanciatore del carico delle applicazioni esterno globale, crea una mappa di certificati e collegala al proxy di destinazione. Per maggiori informazioni, consulta Eseguire il deployment di un certificato autogestito.

Obiettivi

Questo tutorial ti mostra come:

Carica un certificato autogestito in Gestore certificati.
Esegui il deployment del certificato su un bilanciatore del carico delle applicazioni esterno regionale o su un bilanciatore del carico delle applicazioni interno regionale utilizzando un proxy HTTPS di destinazione.

Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.

Prima di iniziare

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Nota: se non prevedi di conservare le risorse create in questa procedura, crea un progetto anziché selezionarne uno esistente. Dopo aver completato questi passaggi, puoi eliminare il progetto, rimuovendo tutte le risorse associate.

Vai al selettore progetti
Assicurati di disporre dei ruoli seguenti per completare le attività di questo tutorial:
- Proprietario gestore certificati: obbligatorio per creare e gestire le risorse del gestore certificati.
- Amministratore bilanciatore del carico Compute o Amministratore rete Compute: necessario per creare e gestire il proxy di destinazione HTTPS.
Per ulteriori informazioni, consulta le seguenti risorse:
- Ruoli e autorizzazioni per Gestore certificati
- Ruoli e autorizzazioni IAM di Compute Engine per Compute Engine
Nota: se non ti vengono assegnati le autorizzazioni o i ruoli, contatta l'amministratore IAM che dispone del ruolo Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin) affinché ti conceda i ruoli mancanti.

Crea il bilanciatore del carico

Crea il bilanciatore del carico in cui vuoi eseguire il deployment del certificato.

Per creare un bilanciatore del carico delle applicazioni esterno regionale, vedi Configurare un bilanciatore del carico delle applicazioni esterno regionale con backend di gruppi di istanze VM.
Per creare un bilanciatore del carico delle applicazioni interno regionale, vedi Configurare un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM.

La parte restante di questo tutorial presuppone che tu abbia già configurato i backend, il controllo di integrità, il servizio di backend e la mappa URL del bilanciatore del carico. Prendi nota del nome della mappa URL perché ti servirà più avanti in questo tutorial.

Richiedere e convalidare un certificato

Per richiedere e convalidare un certificato autogestito:

Utilizza un'autorità di certificazione (CA) di terze parti attendibile per rilasciare il certificato insieme alla chiave associata.
Verifica che il certificato sia concatenato correttamente e attendibile.
Prepara i seguenti file con codifica PEM:
- Il file del certificato (CRT)
- Il file di chiave privata corrispondente (KEY)

Per informazioni su come richiedere e convalidare un certificato, consulta Creare una chiave privata e un certificato.

Carica un certificato autogestito in Gestore certificati

Console

Nella console Google Cloud, vai alla pagina Gestore dei certificati.

Vai a Gestore certificati
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un nome per il certificato.

Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli A livello di regione.
Nell'elenco Regione, seleziona una regione.
Per Tipo di certificato, scegli Crea certificato autogestito.
Per il campo Certificato, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona il file di certificato in formato PEM.
- Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.
Nel campo Certificato di chiave privata, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona la tua chiave privata. La chiave privata deve avere il formato PEM e non deve essere protetta con una passphrase.
- Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.
Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.
Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud

Per caricare il certificato in Gestore certificati, esegui questo comando:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

Sostituisci quanto segue:

CERTIFICATE_NAME: un nome univoco del certificato
CERTIFICATE_FILE: percorso e nome file del file del certificato CRT
PRIVATE_KEY_FILE: percorso e nome file del file della chiave privata KEY
REGION: la regione Google Cloud di destinazione

Esegui il deployment del certificato autogestito su un bilanciatore del carico

Per eseguire il deployment del certificato autogestito, crea un proxy di destinazione HTTPS e collegalo al certificato.

Crea il proxy di destinazione HTTPS

Per creare il proxy di destinazione HTTPS e collegare il certificato, esegui questo comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Sostituisci quanto segue:

PROXY_NAME: un nome univoco del proxy.
URL_MAP: il nome della mappa URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.
REGION: la regione in cui stai creando il proxy di destinazione HTTPS.
CERTIFICATE_NAME: il nome del certificato.

Per verificare se il proxy di destinazione è stato creato, esegui questo comando:

gcloud compute list target-https-proxies

Creare una regola di forwarding

Configura una regola di forwarding e completa la configurazione del bilanciatore del carico.

Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale, vedi Configurare un bilanciatore del carico delle applicazioni esterno regionale con backend di gruppi di istanze VM.
Se utilizzi un bilanciatore del carico delle applicazioni interno regionale, vedi Configurare un bilanciatore del carico delle applicazioni interno regionale con backend di gruppi di istanze VM.

Esegui la pulizia

Per ripristinare le modifiche apportate in questo tutorial, elimina il certificato caricato:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.