此页面由 Cloud Translation API 翻译。

部署自行管理的区域级证书

本教程介绍如何使用证书管理器将自行管理的证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器。

如需将证书部署到区域级外部应用负载平衡器，或者部署到区域级内部应用负载平衡器，请将证书直接附加到目标代理。如需将证书部署到全局外部应用负载平衡器，请创建证书映射并将地图附加到目标代理。如需了解详情，请参阅部署自行管理的证书。

目标

本教程将介绍如何执行以下操作：

将自行管理的证书上传到 Certificate Manager。
使用目标 HTTPS 代理将证书部署到区域级外部应用负载均衡器或区域级内部应用负载均衡器。

如需详细了解证书部署流程，请参阅部署概览。

准备工作

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
请确保您拥有以下角色来完成本教程中的任务：
- Certificate Manager Owner：必须拥有此角色才能创建和管理 Certificate Manager 资源。
- Compute Load Balancer Admin 或 Compute Network Admin：创建和管理 HTTPS 目标代理时需要。
详情请参阅以下内容：
- Certificate Manager 的角色和权限
- Compute Engine 的 Compute Engine IAM 角色和权限
注意：如果您未被分配相应权限或角色，请与具有 Project IAM Admin 角色 (roles/resourcemanager.projectIamAdmin) 的 IAM 管理员联系，让对方为您授予缺少的角色。

创建负载均衡器

创建要部署证书的负载均衡器。

如需创建区域级外部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级外部应用负载平衡器。
如需创建区域级内部应用负载平衡器，请参阅设置具有虚拟机实例组后端的区域级内部应用负载平衡器。

本教程的其余部分假定您已配置负载均衡器的后端、健康检查、后端服务和网址映射。请记下网址映射的名称，因为您在本教程的后面部分需要用到它。

请求和验证证书

如需请求和验证自行管理的证书，请执行以下操作：

使用可信的第三方证书授权机构 (CA) 颁发证书及其关联的密钥。
验证证书是否已正确链接且受根信任。
准备以下 PEM 编码文件：
- 证书文件 (CRT)
- 对应的私钥文件 (KEY)

要了解如何请求和验证证书，请参阅创建私钥和证书。

将自行管理的证书上传到 Certificate Manager

控制台

在 Google Cloud 控制台中，前往证书管理器页面。

前往“证书管理器”
在显示的页面上，选择证书标签页。
点击添加证书。
输入证书的名称。

该名称在项目中必须是唯一的。
可选：输入证书的说明。说明有助于您日后识别特定证书。
对于位置，选择地区级。
从区域列表中，选择一个区域。
对于证书类型，选择创建自行管理的证书。
对于证书字段，请执行以下任一操作：
- 点击上传按钮，然后选择您的 PEM 格式证书文件。
- 复制并粘贴 PEM 格式证书的内容。内容必须以 -----BEGIN CERTIFICATE----- 开头，并以 -----END CERTIFICATE----- 结尾。
对于私钥证书字段，请执行以下任一操作：
- 点击上传按钮，然后选择您的私钥。您的私钥必须采用 PEM 格式，且不受密码保护。
- 复制并粘贴 PEM 格式的私钥内容。私钥必须以 -----BEGIN PRIVATE KEY----- 开头，并以 -----END PRIVATE KEY----- 结尾。
指定要与证书关联的标签。如果需要，您可以添加多个标签。要添加标签，请点击 添加标签按钮，然后为标签指定 key 和 value。
点击创建。确认新证书是否显示在证书列表中。

gcloud

如需将证书上传到证书管理器，请运行以下命令：

  gcloud certificate-manager certificates create CERTIFICATE_NAME 

     --certificate-file="CERTIFICATE_FILE" 

     --private-key-file="PRIVATE_KEY_FILE" 

     --location="REGION"

替换以下内容：

CERTIFICATE_NAME：证书的唯一名称
CERTIFICATE_FILE：CRT 证书文件的路径和文件名
PRIVATE_KEY_FILE：KEY 私钥文件的路径和文件名
REGION：目标 Google Cloud 区域

将自行管理的证书部署到负载均衡器

如需部署自行管理的证书，请创建一个 HTTPS 目标代理并将证书附加到该代理。

创建 HTTPS 目标代理

如需创建 HTTPS 目标代理并附加证书，请运行以下命令：

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --region=REGION \
    --certificate-manager-certificates=CERTIFICATE_NAME

替换以下内容：

PROXY_NAME：代理的唯一名称。
URL_MAP：网址映射的名称。您在创建网址映射时创建了负载均衡器
REGION：您要在该区域创建 HTTPS 目标代理。
CERTIFICATE_NAME：证书的名称。

如需验证目标代理是否已创建，请运行以下命令：

gcloud compute list target-https-proxies

创建转发规则

设置转发规则并完成负载均衡器的设置。

如果您使用的是区域级外部应用负载均衡器，请参阅设置具有虚拟机实例组后端的区域级外部应用负载均衡器。
如果您使用的是区域级内部应用负载均衡器，请参阅设置具有虚拟机实例组后端的区域级内部应用负载均衡器。

清理

如需还原您在本教程中所做的更改，请删除上传的证书：

gcloud certificate-manager certificates delete CERTIFICATE_NAME

将 CERTIFICATE_NAME 替换为目标证书的名称。