Ce tutoriel vous explique comment utiliser le Gestionnaire de certificats pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional.
Si vous souhaitez déployer sur des équilibreurs de charge externes globaux ou interrégionaux, consultez les ressources suivantes:
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
- Importez un certificat autogéré dans le gestionnaire de certificats.
- Déployez le certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional à l'aide d'un proxy HTTPS cible.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
Rôles requis
Pour effectuer les tâches de ce tutoriel, assurez-vous de disposer des rôles suivants:
Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner)Nécessaire pour créer et gérer des ressources du Gestionnaire de certificats.
Administrateur de l'équilibreur de charge Compute (
roles/compute.loadBalancerAdmin) ou administrateur réseau Compute (roles/compute.networkAdmin)Obligatoire pour créer et gérer le proxy HTTPS cible.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le Gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine.
Créer l'équilibreur de charge
Ce tutoriel suppose que vous avez déjà créé et configuré les backends, les vérifications d'état, les services de backend et les mappages d'URL de l'équilibreur de charge. Notez le nom de la mappe d'URL, car vous en aurez besoin plus tard dans ce tutoriel.
Pour créer un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupe d'instances de VM.
Pour créer un équilibreur de charge d'application interne régional, consultez Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.
Créer une clé privée et un certificat
Pour créer une clé privée et un certificat, procédez comme suit:
Utilisez une autorité de certification (CA) tierce de confiance pour émettre le certificat avec la clé associée.
Vérifiez que le certificat est correctement enchaîné et approuvé par la racine.
Préparez les fichiers encodés en PEM suivants:
- Fichier de certificat (CRT)
- Le fichier de clé privée (KEY) correspondant
Pour savoir comment demander et valider un certificat, consultez la section Créer une clé privée et un certificat.
Importer un certificat autogéré dans le gestionnaire de certificats
Pour importer le certificat dans le gestionnaire de certificats, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Certificats, cliquez sur Ajouter un certificat.
Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.
Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.
Pour l'Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez votre région.
Dans Type de certificat, sélectionnez Créer un certificat autogéré.
Pour le champ Certificat, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
- Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par
-----BEGIN CERTIFICATE-----et se terminer par-----END CERTIFICATE-----.
Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
- Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par
-----BEGIN PRIVATE KEY-----et se terminer par-----END PRIVATE KEY-----.
Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Cliquez sur Créer.
Le nouveau certificat apparaît dans la liste des certificats.
gcloud
Pour créer un certificat autogéré régional, exécutez la commande certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--location="LOCATION"
Remplacez les éléments suivants :
CERTIFICATE_NAME: nom du certificat.CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT.PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY.LOCATION: emplacement Google Cloud cible.
Terraform
Pour importer un certificat autogéré, vous pouvez utiliser une ressource google_certificate_manager_certificate avec le bloc self_managed.
API
Importez le certificat en envoyant une requête POST à la méthode certificates.create comme suit:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
}
Remplacez les éléments suivants :
PROJECT_ID: ID du projet Google Cloud.CERTIFICATE_NAME: nom du certificat.PEM_CERTIFICATE: certificat PEM.PEM_KEY: clé PEM.LOCATION: emplacement Google Cloud cible.
Déployer le certificat autogéré sur un équilibreur de charge
Pour déployer le certificat autogéré, associez-le directement au proxy cible.
Associer le certificat directement au proxy cible
Vous pouvez associer le certificat à un nouveau proxy cible ou à un proxy cible existant.
Pour associer le certificat à un nouveau proxy cible, utilisez la commande gcloud compute
target-https-proxies create:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-manager-certificates=CERTIFICATE_NAME \
--url-map=URL_MAP \
--region=LOCATION
Remplacez les éléments suivants :
PROXY_NAME: nom du proxy cible.CERTIFICATE_NAME: nom du certificat.URL_MAP: nom du mappage d'URL. Vous avez créé le mappage d'URL lorsque vous avez créé l'équilibreur de charge.LOCATION: emplacement Google Cloud cible dans lequel vous souhaitez créer le proxy HTTPS cible.
Pour associer un certificat à un proxy HTTPS cible existant, utilisez la commande gcloud
compute target-https-proxies update. Si vous ne connaissez pas le nom du proxy cible existant, accédez à la page Proxys cibles et notez le nom du proxy cible.
gcloud compute target-https-proxies update PROXY_NAME \
--region=LOCATION \
--certificate-manager-certificates=CERTIFICATE_NAME
Après avoir créé ou mis à jour le proxy cible, exécutez la commande suivante pour le vérifier:
gcloud compute target-https-proxies list
Effectuer un nettoyage
Pour éviter que les ressources utilisées dans ce tutoriel soient facturées sur votre compte Google Cloud , supprimez le certificat importé:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Remplacez CERTIFICATE_NAME par le nom du certificat cible.
Si vous ne prévoyez pas d'utiliser l'équilibreur de charge, supprimez-le et ses ressources. Consultez la section Nettoyer une configuration d'équilibrage de charge.