Regionales selbstverwaltetes Zertifikat bereitstellen

In dieser Anleitung wird beschrieben, wie Sie mit dem Zertifikatmanager ein selbstverwaltetes Zertifikat für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer bereitstellen.

Wenn Sie ein Zertifikat auf einem regionalen externen Application Load Balancer oder einem regionalen internen Application Load Balancer bereitstellen möchten, hängen Sie das Zertifikat direkt an den Zielproxy an. Erstellen Sie eine Zertifikatszuordnung und hängen Sie die Zuordnung an den Zielproxy an, um ein Zertifikat für einen globalen externen Application Load Balancer bereitzustellen. Weitere Informationen finden Sie unter Selbstverwaltetes Zertifikat bereitstellen.

Lernziele

In dieser Anleitung wird Folgendes beschrieben:

Laden Sie ein selbstverwaltetes Zertifikat in den Zertifikatmanager hoch.
Stellen Sie das Zertifikat mithilfe eines Ziel-HTTPS-Proxys auf einem regionalen externen Application Load Balancer oder in einem regionalen internen Application Load Balancer bereit.

Weitere Informationen zum Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Hinweise

Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen und dadurch alle mit dem Projekt verknüpften Ressourcen entfernen.

Zur Projektauswahl
Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung auszuführen:
- Certificate Manager Owner (Inhaber des Zertifikatsmanagers): Erforderlich zum Erstellen und Verwalten von Zertifikatsmanagerressourcen.
- Administrator für Compute-Load-Balancer oder Compute-Netzwerkadministrator: Erforderlich zum Erstellen und Verwalten des HTTPS-Zielproxys.
Hier finden Sie weitere Informationen:
- Rollen und Berechtigungen für den Zertifikatmanager
- Compute Engine-IAM-Rollen und -Berechtigungen für Compute Engine
Hinweis: Wenn Ihnen die Berechtigungen oder Rollen nicht zugewiesen sind, bitten Sie den IAM-Administrator mit der Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin), Ihnen die fehlenden Rollen zu gewähren.

Load-Balancer erstellen

Erstellen Sie den Load-Balancer, in dem Sie das Zertifikat bereitstellen möchten.

Informationen zum Erstellen eines regionalen externen Application Load Balancers finden Sie unter Regionalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Informationen zum Erstellen eines regionalen internen Application Load Balancers finden Sie unter Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.

Im weiteren Verlauf dieser Anleitung wird davon ausgegangen, dass Sie die Back-Ends, die Systemdiagnose, den Back-End-Dienst und die URL-Zuordnung des Load-Balancers bereits konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.

Zertifikat anfordern und validieren

So fordern und validieren Sie ein selbstverwaltetes Zertifikat:

Verwenden Sie eine vertrauenswürdige Drittanbieter-Zertifizierungsstelle, um das Zertifikat zusammen mit dem zugehörigen Schlüssel auszustellen.
Prüfen Sie, ob das Zertifikat ordnungsgemäß verkettet und als Root-vertrauenswürdig eingestuft ist.
Bereiten Sie die folgenden PEM-codierten Dateien vor:
- Zertifikatsdatei (CRT)
- Die entsprechende private Schlüsseldatei (KEY)

Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Privaten Schlüssel und Zertifikat erstellen.

Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen

Führen Sie den folgenden Befehl aus, um das Zertifikat in den Zertifikatmanager hochzuladen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="REGION"

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name des Zertifikats
CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei
REGION: die Google Cloud-Zielregion

Selbstverwaltetes Zertifikat für einen Load-Balancer bereitstellen

Erstellen Sie zum Bereitstellen des selbstverwalteten Zertifikats einen HTTPS-Ziel-Proxy und hängen Sie das Zertifikat an diesen an.

HTTPS-Ziel-Proxy erstellen

Führen Sie den folgenden Befehl aus, um den HTTPS-Zielproxy zu erstellen und das Zertifikat anzuhängen:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Ersetzen Sie Folgendes:

PROXY_NAME: Ein eindeutiger Name des Proxys.
URL_MAP ist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load-Balancers erstellt.
REGION: Die Region, in der Sie den HTTPS-Ziel-Proxy erstellen.
CERTIFICATE_NAME: der Name des Zertifikats.

Führen Sie den folgenden Befehl aus, um zu prüfen, ob der Zielproxy erstellt wird:

gcloud compute list target-https-proxies

Erstellen Sie eine Weiterleitungsregel.

Richten Sie eine Weiterleitungsregel ein und schließen Sie die Einrichtung des Load-Balancers ab.

Wenn Sie einen regionalen externen Application Load Balancer verwenden, finden Sie weitere Informationen unter Regionalen externen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.
Wenn Sie einen regionalen internen Application Load Balancer verwenden, lesen Sie die Informationen unter Regionalen internen Application Load Balancer mit VM-Instanzgruppen-Back-Ends einrichten.

Bereinigen

Wenn Sie die in dieser Anleitung vorgenommenen Änderungen rückgängig machen möchten, löschen Sie das hochgeladene Zertifikat:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.