Implantar um certificado autogerenciado regional

Este tutorial descreve como usar o Gerenciador de certificados para implantar um certificado autogerenciado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional.

Para implantar um certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional, anexe o certificado diretamente ao proxy de destino. Para implantar um certificado em um balanceador de carga de aplicativo externo global, crie um mapa de certificado e anexar o mapa ao proxy de destino. Para mais informações, consulte Implantar um certificado autogerenciado.

Objetivos

Neste tutorial, mostramos como fazer as seguintes tarefas:

  • Faça upload de um certificado autogerenciado para o Gerenciador de certificados.
  • Implante o certificado em um balanceador de carga de aplicativo externo regional ou a um balanceador de carga de aplicativo interno regional usando um proxy HTTPS de destino.

Para mais informações sobre o processo de implantação de certificados, consulte Visão geral da implantação.

Antes de começar

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Verifique se você tem os seguintes papéis para concluir as tarefas deste tutorial:

    • Proprietário do Gerenciador de certificados: necessário para criar e gerenciar recursos do Gerenciador de certificados.
    • Administrador do balanceador de carga do Compute ou Administrador de rede do Compute: necessário para criar e gerenciar o proxy de destino HTTPS.

    Para ver mais informações, consulte os seguintes tópicos:

Criar o balanceador de carga

Crie o balanceador de carga em que você quer implantar o certificado.

No restante deste tutorial, presumimos que você já tenha configurado os back-ends, a verificação de integridade, o serviço de back-end e o mapa de URL do balanceador de carga. Anote o nome do mapa de URL, porque ele será necessário mais adiante neste tutorial.

Solicitar e validar um certificado

Para solicitar e validar um certificado autogerenciado, faça o seguinte:

  1. Use uma autoridade certificadora (AC) de terceiros confiável para emitir o certificado com a chave associada.

  2. Verifique se o certificado está corretamente encadeado e tem confiança raiz.

  3. Prepare os seguintes arquivos codificados em PEM:

    • O arquivo de certificado (CRT)
    • O arquivo de chave privada correspondente (KEY)

Para saber como solicitar e validar um certificado, consulte Criar uma chave privada e um certificado.

Fazer upload de um certificado autogerenciado no Gerenciador de certificados

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico mais tarde.

  6. Em local, escolha Regional.

  7. Na lista Região, selecione uma região.

  8. Em Tipo de certificado, escolha Criar certificado autogerenciado.

  9. No campo Certificado, faça qualquer uma das seguintes ações:

    • Clique no botão Upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  10. No campo Certificado de chave privada, realize uma das seguintes ações:

    • Clique no botão Upload e selecione sua chave privada. Ela precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  11. Especifique um rótulo para associar ao certificado. Você pode adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  12. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud

Para fazer upload do certificado para o Gerenciador de certificados, execute o seguinte comando:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada KEY
  • REGION: a região de destino do Google Cloud.

Implantar o certificado autogerenciado em um balanceador de carga

Para implantar o certificado autogerenciado, crie um proxy de destino HTTPS e anexe o certificado a ele.

Criar o proxy de destino HTTPS

Para criar o proxy de destino HTTPS e anexar o certificado, execute o seguinte comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Substitua:

  • PROXY_NAME: um nome exclusivo do proxy.
  • URL_MAP: o nome do mapa de URL. Você criou o mapa de URL quando criou o balanceador de carga.
  • REGION: a região em que você está criando o proxy de destino HTTPS.
  • CERTIFICATE_NAME: o nome do certificado.

Para verificar se o proxy de destino foi criado, execute o seguinte comando:

gcloud compute list target-https-proxies

Criar uma regra de encaminhamento

Configure uma regra de encaminhamento e termine de configurar o balanceador de carga.

Limpar

Para reverter as mudanças feitas neste tutorial, exclua o certificado enviado:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

A seguir