Implantar um certificado autogerenciado regional

Este tutorial descreve como usar o Gerenciador de certificados para implantar um certificado autogerenciado em um balanceador de carga de aplicativo regional externo ou em um balanceador de carga de aplicativo regional interno.

Para implantar um certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional, anexe o certificado diretamente ao proxy de destino. Para implantar um certificado em um balanceador de carga de aplicativo externo global, crie um mapa de certificados e anexe o mapa ao proxy de destino. Para mais informações, consulte Implantar um certificado autogerenciado.

Objetivos

Neste tutorial, mostramos como fazer as seguintes tarefas:

Fazer upload de um certificado autogerenciado para o Gerenciador de certificados.
Implante o certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo regional interno usando um proxy HTTPS de destino.

Para mais informações sobre o processo de implantação de certificados, consulte Visão geral da implantação.

Antes de começar

No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

Observação: se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, é possível excluir o projeto. Para fazer isso, basta remover todos os recursos associados a ele.

Acessar o seletor de projetos
Verifique se você tem os papéis a seguir para concluir as tarefas neste tutorial:
- Proprietário do gerenciador de certificados: necessário para criar e gerenciar recursos do gerenciador de certificados.
- Administrador do balanceador de carga do Compute ou Administrador da rede do Compute: necessários para criar e gerenciar o proxy de destino HTTPS.
Para ver mais informações, consulte os seguintes tópicos:
- Funções e permissões do Gerenciador de certificados
- Permissões e papéis do IAM do Compute Engine para o Compute Engine
Observação: se você não tiver as permissões ou os papéis atribuídos, entre em contato com o Administrador do IAM que tem o papel Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin) para receber os papéis ausentes.

Criar o balanceador de carga

Crie o balanceador de carga em que você quer implantar o certificado.

Para criar um balanceador de carga de aplicativo externo regional, consulte Configurar um balanceador de carga de aplicativo externo regional com back-ends de grupos de instâncias de VM.
Para criar um balanceador de carga de aplicativo regional interno, consulte Configurar um balanceador de carga de aplicativo regional com back-ends de grupos de instâncias de VM.

O restante deste tutorial pressupõe que você já configurou os back-ends, a verificação de integridade, o serviço de back-end e o mapa de URL do balanceador de carga. Anote o nome do mapa de URL, porque você vai precisar dele mais adiante neste tutorial.

Solicitar e validar um certificado

Para solicitar e validar um certificado autogerenciado, faça o seguinte:

Use uma autoridade de certificação (CA, na sigla em inglês) de terceiros confiável para emitir o certificado com a chave associada.
Verifique se o certificado está devidamente encadeado e confiável.
Prepare os seguintes arquivos codificados em PEM:
- O arquivo de certificado (CRT)
- O arquivo de chave privada correspondente (KEY)

Para informações sobre como solicitar e validar um certificado, consulte Criar uma chave privada e um certificado.

Fazer upload de um certificado autogerenciado para o Gerenciador de certificados

Para fazer o upload do certificado para o Gerenciador de certificados, execute o seguinte comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="REGION"

Substitua:

CERTIFICATE_NAME: um nome exclusivo do certificado.
CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT
PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada KEY.
REGION: a região de destino do Google Cloud

Implante o certificado autogerenciado em um balanceador de carga

Para implantar o certificado autogerenciado, crie um proxy de destino HTTPS e anexe o certificado a ele.

Criar o proxy de destino HTTPS

Para criar o proxy de destino HTTPS e anexar o certificado, execute o seguinte comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Substitua:

PROXY_NAME: um nome exclusivo do proxy.
URL_MAP: o nome do mapa de URL. Você criou o mapa de URL quando criou o balanceador de carga.
REGION: a região onde você está criando o proxy de destino HTTPS.
CERTIFICATE_NAME: o nome do certificado.

Para verificar se o proxy de destino foi criado, execute o seguinte comando:

gcloud compute list target-https-proxies

Criar uma regra de encaminhamento

Configure uma regra de encaminhamento e conclua a configuração do balanceador de carga.

Se você estiver usando um balanceador de carga de aplicativo externo regional, consulte Configurar um balanceador de carga de aplicativo regional externo com back-ends de grupos de instâncias de VM.
Se você estiver usando um balanceador de carga de aplicativo regional interno, consulte Configurar um balanceador de carga de aplicativo regional interno com back-ends de grupos de instâncias de VM.

Limpar

Para reverter as mudanças feitas neste tutorial, exclua o certificado enviado:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado de destino.