Men-deploy sertifikat yang dikelola sendiri secara regional


Tutorial ini menunjukkan cara menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola sendiri ke Load Balancer Aplikasi eksternal regional atau ke Load Balancer Aplikasi internal regional.

Jika Anda ingin men-deploy ke load balancer eksternal global atau lintas-region, lihat artikel berikut:

Tujuan

Tutorial ini menunjukkan kepada Anda cara menyelesaikan tugas-tugas berikut:

  • Upload sertifikat yang dikelola sendiri ke Certificate Manager.
  • Deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau ke Load Balancer Aplikasi internal regional menggunakan proxy HTTPS target.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.
  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.
  11. To initialize the gcloud CLI, run the following command:

    gcloud init

Peran yang diperlukan

Pastikan Anda memiliki peran berikut untuk menyelesaikan tugas dalam tutorial ini:

  • Pemilik Pengelola Sertifikat (roles/certificatemanager.owner): Wajib untuk membuat dan mengelola resource Pengelola Sertifikat.
  • Compute Load Balancer Admin (roles/compute.loadBalancerAdmin) atau Compute Network Admin (roles/compute.networkAdmin): Diperlukan untuk membuat dan mengelola proxy target HTTPS.

Untuk informasi selengkapnya, lihat referensi berikut:

Membuat load balancer

Tutorial ini mengasumsikan bahwa Anda telah membuat dan mengonfigurasi backend, health check, layanan backend, dan peta URL load balancer. Catat nama peta URL karena Anda akan memerlukannya nanti dalam tutorial ini.

Membuat kunci pribadi dan sertifikat

Untuk membuat kunci pribadi dan sertifikat, lakukan hal berikut:

  1. Gunakan certificate authority (CA) pihak ketiga tepercaya untuk menerbitkan sertifikat beserta kunci terkaitnya.

  2. Pastikan sertifikat dirantai dengan benar dan dipercaya root.

  3. Siapkan file yang dienkode PEM berikut:

    • File sertifikat (CRT)
    • File kunci pribadi (KEY) yang sesuai

Untuk mengetahui informasi tentang cara meminta dan memvalidasi sertifikat, lihat Membuat kunci pribadi dan sertifikat.

Mengupload sertifikat yang dikelola sendiri ke Certificate Manager

Untuk mengupload sertifikat ke Pengelola Sertifikat, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, klik Add Certificate.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Lokasi, pilih Regional.

  6. Dari daftar Region, pilih region Anda.

  7. Untuk Certificate type, pilih Create self-managed certificate.

  8. Untuk kolom Certificate, lakukan salah satu tindakan berikut:

    • Klik tombol Upload, lalu pilih file sertifikat berformat PEM.
    • Salin dan tempel konten sertifikat berformat PEM. Konten harus diawali dengan -----BEGIN CERTIFICATE----- dan diakhiri dengan -----END CERTIFICATE-----.
  9. Untuk kolom Sertifikat kunci pribadi, lakukan salah satu tindakan berikut:

    • Klik tombol Upload, lalu pilih kunci pribadi Anda. Kunci pribadi Anda harus berformat PEM dan tidak dilindungi dengan frasa sandi.
    • Salin dan tempel konten kunci pribadi berformat PEM. Kunci pribadi harus diawali dengan -----BEGIN PRIVATE KEY----- dan diakhiri dengan -----END PRIVATE KEY-----.
  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Create.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola sendiri secara regional, jalankan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • CERTIFICATE_FILE: jalur dan nama file sertifikat CRT.
  • PRIVATE_KEY_FILE: jalur dan nama file kunci pribadi KEY.
  • LOCATION: lokasi Google Cloud target.

Terraform

Untuk mengupload sertifikat yang dikelola sendiri, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok self_managed.

API

Upload sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • CERTIFICATE_NAME: nama sertifikat.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM kunci.
  • LOCATION: lokasi Google Cloud target.

Men-deploy sertifikat yang dikelola sendiri ke load balancer

Untuk men-deploy sertifikat yang dikelola sendiri, lampirkan langsung ke proxy target.

Melampirkan sertifikat langsung ke proxy target

Anda dapat melampirkan sertifikat ke proxy target baru atau proxy target yang ada.

Untuk melampirkan sertifikat ke proxy target baru, gunakan perintah gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

Ganti kode berikut:

  • PROXY_NAME: nama proxy target.
  • CERTIFICATE_NAME: nama sertifikat.
  • URL_MAP: nama peta URL. Anda membuat peta URL saat membuat load balancer.
  • LOCATION: lokasi Google Cloud target tempat Anda ingin membuat proxy target HTTPS.

Untuk melampirkan sertifikat ke proxy HTTPS target yang ada, gunakan perintah gcloud compute target-https-proxies update. Jika Anda tidak mengetahui nama proxy target yang ada, buka halaman Proxy target dan catat nama proxy target.

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Setelah membuat atau memperbarui proxy target, jalankan perintah berikut untuk memverifikasinya:

gcloud compute target-https-proxies list

Pembersihan

Agar tidak menimbulkan tagihan ke akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus sertifikat yang diupload:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Ganti CERTIFICATE_NAME dengan nama sertifikat target.

Jika Anda tidak berencana menggunakan load balancer, hapus load balancer dan resource-nya. Lihat Membersihkan penyiapan load balancing.

Langkah selanjutnya