Déployer un certificat régional autogéré


Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional.

Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, joignez le certificat directement au proxy cible. Pour déployer un certificat sur un équilibreur de charge d'application externe global, créez un mappage de certificats et associer la carte au proxy cible. Pour en savoir plus, consultez la page Déployer un certificat autogéré.

Objectifs

Ce tutoriel vous explique comment :

  • Importez un certificat autogéré dans le gestionnaire de certificats.
  • Déployez le certificat sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement des certificats, consultez Présentation du déploiement

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Pour effectuer les tâches de ce tutoriel, assurez-vous de disposer des rôles suivants :

    • Propriétaire du gestionnaire de certificats : rôle requis pour créer et gérer des ressources du gestionnaire de certificats.
    • Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: nécessaire pour créer et gérer un proxy cible HTTPS.

    Pour en savoir plus, consultez les ressources suivantes :

Créer l'équilibreur de charge

Créez l'équilibreur de charge sur lequel vous souhaitez déployer le certificat.

Le reste de ce tutoriel suppose que vous avez déjà configuré les backends, la vérification de l'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.

Demander et valider un certificat

Pour demander et valider un certificat autogéré, procédez comme suit :

  1. Faites appel à une autorité de certification tierce de confiance pour émettre le certificat ainsi que la clé associée.

  2. Vérifiez que le certificat est correctement enchaîné et approuvé par la racine.

  3. Préparez les fichiers encodés en PEM suivants :

    • Fichier de certificat CRT
    • Le fichier de clé privée (KEY) correspondant

Pour savoir comment demander et valider un certificat, consultez la section Créer une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Certificats.

  3. Cliquez sur Ajouter un certificat.

  4. Saisissez un nom pour le certificat.

    Ce nom doit être unique au projet.

  5. Facultatif: saisissez la description du certificat. La description vous permet d'identifier un certificat spécifique par la suite.

  6. Dans le champ Emplacement, sélectionnez Régional.

  7. Dans la liste Région, sélectionnez une région.

  8. Dans le champ Type de certificat, sélectionnez Créer un certificat autogéré.

  9. Pour le champ Certificat, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre fichier PEM fichier de certificat.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.
  10. Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. La Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se termine par -----END PRIVATE KEY-----.
  11. Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.

  12. Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour importer le certificat dans Certificate Manager, exécutez la commande suivante :

  gcloud certificate-manager certificates create CERTIFICATE_NAME 
--certificate-file="CERTIFICATE_FILE"
--private-key-file="PRIVATE_KEY_FILE"
--location="REGION"

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom unique du certificat
  • CERTIFICATE_FILE : chemin d'accès et nom du fichier de certificat CRT
  • PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY
  • REGION: région Google Cloud cible

Déployer le certificat autogéré sur un équilibreur de charge

Pour déployer le certificat autogéré, créez un proxy cible HTTPS et associez-y le certificat.

Créer le proxy cible HTTPS

Pour créer le proxy HTTPS cible et lui associer le certificat, exécutez la commande suivante:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROXY_NAME : nom unique du proxy.
  • URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lorsque vous avez créé l'équilibreur de charge.
  • REGION: région dans laquelle vous créez le proxy cible HTTPS.
  • CERTIFICATE_NAME: nom du certificat.

Pour vérifier si le proxy cible a été créé, exécutez la commande suivante:

gcloud compute list target-https-proxies

Créer une règle de transfert

Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, supprimez le certificat importé:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Remplacez CERTIFICATE_NAME par le nom du certificat cible.

Étape suivante