Globales selbstverwaltetes Zertifikat bereitstellen

In dieser Anleitung wird beschrieben, wie Sie mit dem Zertifikatmanager ein globales selbstverwaltetes Zertifikat bereitstellen.

Die folgenden Load-Balancer unterstützen globale selbstverwaltete Zertifikate:

  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Globaler externer Proxy-Network Load Balancer
  • Regionsübergreifender interner Application Load Balancer

Informationen zum Bereitstellen eines selbstverwalteten Zertifikats für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer finden Sie unter Regionales selbstverwaltetes Zertifikat bereitstellen.

Lernziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

  • Laden Sie ein selbstverwaltetes Zertifikat in den Zertifikatmanager hoch.
  • Stellen Sie das Zertifikat mithilfe eines Ziel-HTTPS-Proxys für einen unterstützten Load-Balancer bereit.

Weitere Informationen zum Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Hinweise

  1. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

  2. Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung auszuführen:

    • Certificate Manager Owner (Inhaber des Zertifikatsmanagers): Erforderlich zum Erstellen und Verwalten von Zertifikatsmanagerressourcen.
    • Administrator für Compute-Load-Balancer oder Compute-Netzwerkadministrator: Erforderlich zum Erstellen und Verwalten des HTTPS-Zielproxys.

    Hier finden Sie weitere Informationen:

Load-Balancer erstellen

Erstellen Sie den Load-Balancer, in dem Sie das Zertifikat bereitstellen möchten.

Im weiteren Verlauf dieser Anleitung wird davon ausgegangen, dass Sie die Back-Ends, die Systemdiagnose, den Back-End-Dienst und die URL-Zuordnung des Load-Balancers bereits konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.

Privaten Schlüssel und Zertifikat erstellen

So erstellen Sie einen privaten Schlüssel und ein Zertifikat:

  1. Verwenden Sie eine vertrauenswürdige Drittanbieter-Zertifizierungsstelle, um das Zertifikat zusammen mit dem zugehörigen Schlüssel auszustellen.

  2. Prüfen Sie, ob das Zertifikat ordnungsgemäß verkettet und als Root-vertrauenswürdig eingestuft ist.

  3. Bereiten Sie die folgenden PEM-codierten Dateien vor:

    • Zertifikatsdatei (CRT)
    • Die entsprechende private Schlüsseldatei (KEY)

Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Privaten Schlüssel und Zertifikat erstellen.

Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen

So laden Sie das Zertifikat in den Zertifikatmanager hoch:

Für einen globalen externen Application Load Balancer, einen klassischen Application Load Balancer oder einen globalen externen Proxy-Network Load Balancer:

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der eindeutige Name des Zertifikats
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei

Für einen regionenübergreifenden internen Application Load Balancer:

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der eindeutige Name des Zertifikats
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei

Selbstverwaltetes Zertifikat für einen Load-Balancer bereitstellen

In den folgenden Abschnitten wird beschrieben, wie Sie das selbstverwaltete Zertifikat, das Sie in den Zertifikatmanager hochgeladen haben, auf einem Load-Balancer bereitstellen.

Je nach Load-Balancer-Typ können Sie Zertifikate so bereitstellen:

Zertifikat mithilfe einer Zertifikatzuordnung bereitstellen

In diesem Abschnitt werden die Schritte zum Bereitstellen eines Zertifikats mithilfe einer Zertifikatzuordnung beschrieben.

Zertifikatzuordnung erstellen

Erstellen Sie eine Zertifikatzuordnung, die auf den Zertifikatzuordnungseintrag verweist, der mit Ihrem Zertifikat verknüpft ist:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ersetzen Sie CERTIFICATE_MAP_NAME durch den Namen der Zielzertifikatzuordnung.

Eintrag für Zertifikatszuordnung erstellen

Erstellen Sie einen Eintrag in der Zertifikatzuordnung und verknüpfen Sie ihn mit Ihrem selbstverwalteten Zertifikat und der Zertifikatzuordnung:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: ein eindeutiger Name des Zertifikatzuordnungseintrags
  • CERTIFICATE_MAP_NAME: Name der Zertifikatzuordnung, an den der Zertifikatzuordnungseintrag angehängt ist
  • CERTIFICATE_NAME: der Zertifikatsname, den Sie mit dem Zertifikatzuordnungseintrag verknüpfen möchten
  • HOSTNAME: der Hostname, den Sie mit dem Zertifikatzuordnungseintrag verknüpfen möchten

Prüfen, ob der Zertifikatzuordnungseintrag aktiv ist

Bevor Sie die Zertifikatzuordnung an den Zielproxy anhängen, führen Sie den folgenden Befehl aus, um zu prüfen, ob der Zertifikatzuordnungseintrag aktiv ist:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: ein eindeutiger Name des Zertifikatzuordnungseintrags
  • CERTIFICATE_MAP_NAME: Name der Zertifikatzuordnung, an den der Zertifikatzuordnungseintrag angehängt ist

Wenn der Eintrag für die Zertifikatszuordnung aktiv ist, gibt die Google Cloud CLI eine Ausgabe wie diese zurück:

createTime: '2021-09-06T10:01:56.229472109Z'
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

HTTPS-Ziel-Proxy erstellen

Informationen zum Erstellen eines HTTPS-Zielproxys finden Sie unter Ziel-Proxy erstellen.

Zertifikatszuordnung an den Zielproxy anhängen

So hängen Sie die konfigurierte Zertifikatzuordnung an den Zielproxy an:

  1. Rufen Sie in der Google Cloud Console die Seite Zielproxys auf.

    Zu Ziel-Proxys

  2. Notieren Sie sich den Namen des Zielproxys.

  3. Führen Sie den folgenden Befehl aus, um die Zertifikatzuordnung an den Zielproxy anzuhängen:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Ersetzen Sie Folgendes:

    • PROXY_NAME: der Name des Zielproxys
    • CERTIFICATE_MAP_NAME: der Name der Zertifikatzuordnung, die auf Ihren Zertifikatzuordnungseintrag und das zugehörige Zertifikat verweist

Wenn TLS (SSL)-Zertifikate direkt an den Proxy angehängt sind, bevorzugt der Proxy die Zertifikate, auf die in der Zertifikatzuordnung verwiesen wird, gegenüber direkt angehängten Zertifikaten.

Erstellen Sie eine Weiterleitungsregel.

Richten Sie eine Weiterleitungsregel ein und schließen Sie die Einrichtung des Load-Balancers ab. Weitere Informationen finden Sie unter Weiterleitungsregeln verwenden.

Zertifikat direkt an den Zielproxy anhängen

Führen Sie den folgenden Befehl aus, um das Zertifikat direkt an den Proxy anzuhängen:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROXY_NAME: Ein eindeutiger Name des Proxys.
  • URL_MAP ist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load-Balancers erstellt.
  • CERTIFICATE_NAME: der Name des Zertifikats.

Bereinigen

Wenn Sie die in dieser Anleitung vorgenommenen Änderungen rückgängig machen möchten, führen Sie die folgenden Schritte aus:

  1. Trennen Sie die Zertifikatszuordnung vom Proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Ersetzen Sie PROXY_NAME durch den Namen des Zielproxys.

    Beachten Sie Folgendes, bevor Sie die Zertifikatszuordnung vom Proxy trennen:

    • Achten Sie darauf, dass mindestens ein TLS (SSL)-Zertifikat direkt an den Proxy angehängt ist. Wenn keine Zertifikate an den Proxy angehängt sind, können Sie die Zertifikatzuordnung nicht trennen.
    • Wenn die Zertifikatzuordnung von einem Proxy getrennt wird, kann der Proxy weiterhin TLS (SSL)-Zertifikate verwenden, die direkt an den Proxy angehängt wurden.

  2. Löschen Sie den Zertifikatzuordnungseintrag aus der Zertifikatzuordnung:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Ersetzen Sie Folgendes:

    • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zielzertifikatszuordnungseintrags
    • CERTIFICATE_MAP_NAME: der Name der Zielzertifikatzuordnung

  3. Löschen Sie die Zertifikatzuordnung:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Ersetzen Sie CERTIFICATE_MAP_NAME durch den Namen der Zielzertifikatzuordnung.

  4. Löschen Sie das hochgeladene Zertifikat:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.

Nächste Schritte