此页面由 Cloud Translation API 翻译。

部署自行管理的区域级证书

本教程介绍如何使用证书管理器将自行管理的证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器。

如需将证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器，请将证书直接附加到目标代理。如需将证书部署到全局外部应用负载平衡器，请创建证书映射并将此映射附加到目标代理。如需了解详情，请参阅部署自行管理的证书。

目标

本教程将介绍如何执行以下操作：

将自行管理的证书上传到证书管理器。
使用目标 HTTPS 代理将证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器。

如需详细了解证书部署过程，请参阅部署概览。

准备工作

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
请确保您拥有以下角色来完成本教程中的任务：
- Certificate Manager Owner：创建和管理 Certificate Manager 资源所必需的权限。
- Compute Load Balancer Admin 或 Compute Network Admin：创建和管理 HTTPS 目标代理时需要。
详情请参阅以下内容：
- Certificate Manager 的角色和权限
- Compute Engine 的 Compute Engine IAM 角色和权限
注意：如果您未分配这些权限或角色，请与具有 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin) 的 IAM 管理员联系，请其为您授予缺少的角色。

创建负载均衡器

创建要在其中部署证书的负载均衡器。

如需创建区域级外部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级外部应用负载平衡器。
如需创建区域级内部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级内部应用负载平衡器。

本教程的其余部分假定您已配置负载均衡器的后端、健康检查、后端服务和网址映射。请记下网址映射的名称，因为您在本教程的后面部分需要用到它。

请求并验证证书

如需请求并验证自行管理的证书，请执行以下操作：

使用受信任的第三方证书授权机构 (CA) 颁发证书及其关联密钥。
验证该证书是否已正确链接且受根信任。
准备以下 PEM 编码文件：
- 证书文件 (CRT)
- 对应的私钥文件 (KEY)

如需了解如何请求和验证证书，请参阅创建私钥和证书。

将自行管理的证书上传到证书管理器

控制台

在 Google Cloud 控制台中，前往 Certificate Manager 页面。

前往“证书管理器”
在显示的页面上，选择证书标签页。
点击添加证书。
输入证书的名称。

该名称在项目中必须是唯一的。
可选：输入证书的说明。该说明有助于您之后识别特定证书。
对于位置，选择区域级。
从区域列表中，选择一个区域。
对于证书类型，选择创建自行管理的证书。
对于证书字段，请执行以下任一操作：
- 点击上传按钮，然后选择您的 PEM 格式的证书文件。
- 复制并粘贴 PEM 格式证书的内容。内容必须以 -----BEGIN CERTIFICATE----- 开头，并以 -----END CERTIFICATE----- 结尾。
对于私钥证书字段，请执行以下任一操作：
- 点击上传按钮，然后选择您的私钥。您的私钥必须采用 PEM 格式，且不受密码保护。
- 复制并粘贴 PEM 格式的私钥内容。私钥必须以 -----BEGIN PRIVATE KEY----- 开头并以 -----END PRIVATE KEY----- 结尾。
指定要与证书关联的标签。如果需要，您可以添加多个标签。如需添加标签，请点击 添加标签按钮，然后为标签指定 key 和 value。
点击创建。验证新证书是否显示在证书列表中。

gcloud

如需将证书上传到证书管理器，请运行以下命令：

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

请替换以下内容：

CERTIFICATE_NAME：证书的唯一名称
CERTIFICATE_FILE：CRT 证书文件的路径和文件名
PRIVATE_KEY_FILE：KEY 私钥文件的路径和文件名
REGION：目标 Google Cloud 区域

将自行管理的证书部署到负载均衡器

如需部署自行管理的证书，请创建一个 HTTPS 目标代理并将证书附加到该代理。

创建 HTTPS 目标代理

如需创建 HTTPS 目标代理并附加证书，请运行以下命令：

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

请替换以下内容：

PROXY_NAME：代理的唯一名称。
URL_MAP：网址映射的名称。您在创建负载均衡器时创建了网址映射。
REGION：您要创建 HTTPS 目标代理的区域。
CERTIFICATE_NAME：证书的名称。

如需验证目标代理是否已创建，请运行以下命令：

gcloud compute list target-https-proxies

创建转发规则

设置转发规则并完成负载均衡器设置。

如果您使用的是区域级外部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级外部应用负载平衡器。
如果您使用的是区域级内部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级内部应用负载平衡器。

清理

要还原您在本教程中所做的更改，请删除上传的证书：

gcloud certificate-manager certificates delete CERTIFICATE_NAME

将 CERTIFICATE_NAME 替换为目标证书的名称。