Cette page a été traduite par l'API Cloud Translation.

Déployer un certificat autogéré régional

Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional.

Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, associez le certificat directement au proxy cible. Pour déployer un certificat sur un équilibreur de charge d'application externe global, créez un mappage de certificat et associez-le au proxy cible. Pour en savoir plus, consultez la section Déployer un certificat autogéré.

Objectifs

Ce tutoriel vous explique comment :

Importer un certificat autogéré dans le gestionnaire de certificats
Déployez le certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement de certificats, consultez la section Présentation du déploiement.

Avant de commencer

Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.

Accéder au sélecteur de projet
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: requis pour créer et gérer un proxy cible HTTPS.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
Remarque :Si les autorisations ou les rôles ne vous sont pas attribués, contactez l'administrateur IAM disposant du rôle Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) pour qu'il vous attribue les rôles manquants.

Créer l'équilibreur de charge

Créez l'équilibreur de charge dans lequel vous souhaitez déployer le certificat.

Pour créer un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
Pour créer un équilibreur de charge d'application interne régional, consultez Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Pour la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification d'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.

Demander et valider un certificat

Pour demander et valider un certificat autogéré, procédez comme suit:

Délivrez le certificat avec la clé associée à l'aide d'une autorité de certification tierce de confiance.
Vérifiez que le certificat est correctement enchaîné et qu'il est approuvé en tant que racine.
Préparez les fichiers encodés au format PEM suivants:
- Fichier de certificat (CRT)
- Le fichier de clé privée correspondant (KEY)

Pour savoir comment demander et valider un certificat, consultez la page Créer une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Console

Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

Accéder au gestionnaire de certificats
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Attribuez un nom au certificat.

Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aidera ultérieurement à identifier un certificat spécifique.
Pour l'emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez une région.
Pour Type de certificat, sélectionnez Créer un certificat autogéré.
Dans le champ Certificat, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
- Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.
Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
- Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.
Spécifiez un libellé à associer au certificat. Vous pouvez ajouter plusieurs étiquettes, si nécessaire. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez les valeurs key et value du libellé.
Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour importer le certificat dans le gestionnaire de certificats, exécutez la commande suivante:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

Remplacez les éléments suivants :

CERTIFICATE_NAME: nom unique du certificat
CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY
REGION: région Google Cloud cible

Déployer le certificat autogéré sur un équilibreur de charge

Pour déployer le certificat autogéré, créez un proxy HTTPS cible et associez-y le certificat.

Créer le proxy HTTPS cible

Pour créer le proxy HTTPS cible et lui associer le certificat, exécutez la commande suivante:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

PROXY_NAME: nom unique du proxy.
URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.
REGION: région dans laquelle vous créez le proxy HTTPS cible.
CERTIFICATE_NAME: nom du certificat.

Pour vérifier si le proxy cible a bien été créé, exécutez la commande suivante:

gcloud compute list target-https-proxies

Créer une règle de transfert

Définissez une règle de transfert et terminez la configuration de l'équilibreur de charge.

Si vous utilisez un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
Si vous utilisez un équilibreur de charge d'application interne régional, consultez la page Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, supprimez le certificat importé:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Remplacez CERTIFICATE_NAME par le nom du certificat cible.