Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou interne.
Pour déployer un certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, associez le certificat directement au proxy cible. Pour déployer un certificat sur un équilibreur de charge d'application externe global, créez un mappage de certificat et associez-le au proxy cible. Pour plus d'informations, consultez la section Déployer un certificat autogéré.
Objectifs
Ce tutoriel vous explique comment :
- importer un certificat autogéré dans le gestionnaire de certificats ;
- Déployez le certificat sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional à l'aide d'un proxy HTTPS cible.
Pour en savoir plus sur le processus de déploiement des certificats, consultez la page Présentation du déploiement.
Avant de commencer
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou administrateur de réseaux Compute: nécessaire pour créer et gérer un proxy HTTPS cible.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM Compute Engine pour Compute Engine
Créer l'équilibreur de charge
Créez l'équilibreur de charge dans lequel vous souhaitez déployer le certificat.
- Pour créer un équilibreur de charge d'application externe régional, consultez Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
- Pour créer un équilibreur de charge d'application interne régional, consultez Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.
Dans la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification d'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.
Demander et valider un certificat
Pour demander et valider un certificat autogéré, procédez comme suit:
Utilisez une autorité de certification tierce de confiance pour émettre le certificat avec la clé associée.
Vérifiez que le certificat est correctement enchaîné et qu'il est approuvé à la racine.
Préparez les fichiers suivants encodés au format PEM:
- Fichier de certificat (CRT)
- Fichier de clé privée correspondant (KEY)
Pour plus d'informations sur la façon de demander et de valider un certificat, consultez la page Créer une clé privée et un certificat.
Importer un certificat autogéré dans le gestionnaire de certificats
Pour importer le certificat dans le gestionnaire de certificats, exécutez la commande suivante:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --location="REGION"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificatCERTIFICATE_FILE
: chemin d'accès et nom du fichier de certificat CRTPRIVATE_KEY_FILE
: chemin d'accès et nom du fichier de clé privée KEYREGION
: région Google Cloud cible
Déployer le certificat autogéré sur un équilibreur de charge
Pour déployer le certificat autogéré, créez un proxy cible HTTPS et associez-y le certificat.
Créer le proxy HTTPS cible
Pour créer le proxy HTTPS cible et lui associer le certificat, exécutez la commande suivante:
gcloud compute target-https-proxies create PROXY_NAME \ --url-map=URL_MAP \ --region=REGION \ --certificate-manager-certificates=CERTIFICATE_NAME
Remplacez les éléments suivants :
PROXY_NAME
: nom unique du proxy.URL_MAP
: nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.REGION
: région dans laquelle vous créez le proxy HTTPS cible.CERTIFICATE_NAME
: nom du certificat.
Pour vérifier si le proxy cible a bien été créé, exécutez la commande suivante:
gcloud compute list target-https-proxies
Créer une règle de transfert
Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge.
- Si vous utilisez un équilibreur de charge d'application externe régional, consultez la page Configurer un équilibreur de charge d'application externe régional avec des backends de groupes d'instances de VM.
- Si vous utilisez un équilibreur de charge d'application interne régional, consultez la page Configurer un équilibreur de charge d'application interne régional avec des backends de groupes d'instances de VM.
Effectuer un nettoyage
Pour annuler les modifications apportées dans ce tutoriel, supprimez le certificat importé:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Remplacez CERTIFICATE_NAME
par le nom du certificat cible.