Cette page a été traduite par l'API Cloud Translation.

Déployer un certificat régional autogéré

Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional.

Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, associez le certificat directement au proxy cible. Pour déployer un certificat sur un équilibreur de charge d'application externe global, créez un mappage de certificat et associez-le au proxy cible. Pour en savoir plus, consultez la section Déployer un certificat autogéré.

Objectifs

Ce tutoriel vous explique comment :

Importez un certificat autogéré dans le gestionnaire de certificats.
Déployez le certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement du certificat, consultez la section Présentation du déploiement.

Avant de commencer

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer des ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: nécessaire pour créer et gérer un proxy HTTPS cible.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
Remarque :Si les autorisations ou les rôles ne vous sont pas attribués, contactez l'administrateur IAM disposant du rôle Administrateur IAM de projet (roles/resourcemanager.projectIamAdmin) pour qu'il vous attribue les rôles manquants.

Créer l'équilibreur de charge

Créez l'équilibreur de charge sur lequel vous souhaitez déployer le certificat.

Pour créer un équilibreur de charge d'application externe régional, consultez Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
Pour créer un équilibreur de charge d'application interne régional, consultez Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Dans la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification de l'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.

Demander et valider un certificat

Pour demander et valider un certificat autogéré, procédez comme suit:

Faites appel à une autorité de certification tierce de confiance pour émettre le certificat ainsi que la clé associée.
Vérifiez que le certificat est correctement chaîné et racine de confiance.
Préparez les fichiers suivants encodés au format PEM:
- Fichier de certificat CRT
- Le fichier de clé privée (KEY) correspondant

Pour en savoir plus sur la demande et la validation d'un certificat, consultez la section Créer une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Console

Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

Accéder au gestionnaire de certificats
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.

Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aidera ultérieurement à identifier un certificat spécifique.
Dans le champ Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez une région.
Dans le champ Type de certificat, sélectionnez Créer un certificat autogéré.
Dans le champ Certificat, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
- Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.
Dans le champ Certificat de clé privée, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
- Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.
Spécifiez une étiquette à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs étiquettes. Pour ajouter un libellé, cliquez sur le bouton Ajouter une étiquette , puis spécifiez les paramètres key et value pour votre libellé.
Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour importer le certificat dans le gestionnaire de certificats, exécutez la commande suivante:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

Remplacez les éléments suivants :

CERTIFICATE_NAME: nom unique du certificat
CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY
REGION: région Google Cloud cible

Déployer le certificat autogéré sur un équilibreur de charge

Pour déployer le certificat autogéré, créez un proxy HTTPS cible et associez-y le certificat.

Créer le proxy cible HTTPS

Pour créer le proxy HTTPS cible et lui associer le certificat, exécutez la commande suivante:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

PROXY_NAME: nom unique du proxy.
URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.
REGION: région dans laquelle vous créez le proxy cible HTTPS.
CERTIFICATE_NAME: nom du certificat.

Pour vérifier si le proxy cible a été créé, exécutez la commande suivante:

gcloud compute list target-https-proxies

Créer une règle de transfert

Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge.

Si vous utilisez un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
Si vous utilisez un équilibreur de charge d'application interne régional, consultez la page Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, supprimez le certificat importé:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Remplacez CERTIFICATE_NAME par le nom du certificat cible.