Diese Seite wurde von der Cloud Translation API übersetzt.

Regionales selbstverwaltetes Zertifikat bereitstellen

In dieser Anleitung wird beschrieben, wie Sie mit dem Zertifikatmanager ein selbstverwaltetes Zertifikat für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer bereitstellen.

Um ein Zertifikat für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer verwenden, hängen Sie das Zertifikat direkt an den Zielproxy an. Wenn Sie ein Zertifikat für einen globalen externen Application Load Balancer bereitstellen möchten, erstellen Sie eine Zertifikatszuordnung und hängen Sie sie an den Zielproxy an. Weitere Informationen finden Sie unter Selbstverwaltetes Zertifikat bereitstellen

Lernziele

In dieser Anleitung wird Folgendes erläutert:

Laden Sie ein selbstverwaltetes Zertifikat in den Zertifikatmanager hoch.
Stellen Sie das Zertifikat mithilfe eines Ziel-HTTPS-Proxys für einen regionalen externen Application Load Balancer oder für einen regionalen internen Application Load Balancer bereit.

Weitere Informationen zur Zertifizierungsbereitstellung finden Sie unter Bereitstellungsübersicht.

Hinweise

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung ausführen zu können:
- Zertifikatmanager-Inhaber: Erforderlich zum Erstellen und Verwalten von Zertifikatmanager-Ressourcen.
- Administrator für Compute-Load-Balancer oder Compute-Netzwerkadministrator: Erforderlich zum Erstellen und Verwalten des HTTPS-Zielproxys.
Hier finden Sie weitere Informationen:
- Rollen und Berechtigungen für den Zertifikatmanager
- Compute Engine-IAM-Rollen und -Berechtigungen
Hinweis: Wenn Ihnen die Berechtigungen oder Rollen nicht zugewiesen sind, wenden Sie sich an den IAM-Administrator mit der Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin), um Ihnen die fehlenden Rollen zu gewähren.

Load-Balancer erstellen

Erstellen Sie den Load Balancer, an dem Sie das Zertifikat bereitstellen möchten.

Informationen zum Erstellen eines regionalen externen Application Load Balancers finden Sie unter Regionalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Informationen zum Erstellen eines regionalen internen Application Load Balancers finden Sie unter Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.

Im weiteren Verlauf dieser Anleitung wird davon ausgegangen, dass Sie die Back-Ends, die Systemdiagnose, den Back-End-Dienst und die URL-Zuordnung des Load-Balancers bereits konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.

Zertifikat anfordern und validieren

So fordern Sie ein selbstverwaltetes Zertifikat an und validieren es:

Verwenden Sie eine vertrauenswürdige Zertifizierungsstelle eines Drittanbieters, um das Zertifikat mit dem zugehörigen Schlüssel auszustellen.
Prüfen Sie, ob das Zertifikat korrekt verkettet und vom Stammknoten als vertrauenswürdig eingestuft ist.
Bereiten Sie die folgenden PEM-codierten Dateien vor:
- Zertifikatsdatei (CRT)
- Die entsprechende private Schlüsseldatei (KEY)

Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Erstellen Sie einen privaten Schlüssel und ein Zertifikat.

Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie die Beschreibung für das Zertifikat ein. Die Mithilfe der Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie als Standort die Option Regional aus.
Wählen Sie in der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Führen Sie im Feld Certificate (Zertifikat) einen der folgenden Schritte aus:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie das PEM-Format aus. Zertifikatsdatei.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.
Im Feld Zertifikat für privaten Schlüssel haben Sie folgende Möglichkeiten:
- Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr Der private Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und mit -----END PRIVATE KEY----- enden.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können bei Bedarf mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

Führen Sie den folgenden Befehl aus, um das Zertifikat in den Zertifikatmanager hochzuladen:

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name des Zertifikats
CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei
REGION: die Google Cloud-Zielregion

Selbstverwaltetes Zertifikat auf einem Load Balancer bereitstellen

Wenn Sie das selbstverwaltete Zertifikat bereitstellen möchten, erstellen Sie einen HTTPS-Zielproxy und hängen Sie das Zertifikat daran an.

HTTPS-Ziel-Proxy erstellen

Führen Sie den folgenden Befehl aus, um den HTTPS-Zielproxy zu erstellen und das Zertifikat anzuhängen:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Ersetzen Sie Folgendes:

PROXY_NAME: Ein eindeutiger Name für den Proxy.
URL_MAP ist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung erstellt, als Sie hat den Load-Balancer erstellt.
REGION ist die Region, in der Sie den HTTPS-Ziel-Proxy erstellen.
CERTIFICATE_NAME ist der Name des Zertifikats.

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Zielproxy erstellt wurde:

gcloud compute list target-https-proxies

Erstellen Sie eine Weiterleitungsregel.

Richten Sie eine Weiterleitungsregel ein und schließen Sie die Einrichtung des Load-Balancers ab.

Wenn Sie einen regionalen externen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Regionalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Wenn Sie einen regionalen internen Application Load Balancer verwenden, lesen Sie den Hilfeartikel Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.

Bereinigen

Wenn Sie die in dieser Anleitung vorgenommenen Änderungen rückgängig machen möchten, löschen Sie das hochgeladene Zertifikat:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.