Déployer un certificat autogéré global

Créer l'équilibreur de charge

Créez l'équilibreur de charge dans lequel vous souhaitez déployer le certificat.

• Pour créer un équilibreur de charge d'application externe global, consultez Configurer un équilibreur de charge d'application externe global avec des backends de groupes d'instances de VM.

• Pour créer un équilibreur de charge d'application classique, consultez Configurer un équilibreur de charge d'application classique avec des groupe d'instances géré d'instances gérés.

• Pour créer un équilibreur de charge réseau proxy externe global (proxy SSL), consultez Configurer un équilibreur de charge réseau proxy externe global (proxy SSL) avec des backends de groupes d'instances de VM.

• Pour créer un équilibreur de charge réseau (proxy TCP) externe global, consultez Configurer un équilibreur de charge réseau (proxy TCP) externe global avec des backends de groupes d'instances de VM.

• Pour créer un équilibreur de charge d'application interne interrégional, consultez la page Configurer un équilibreur de charge d'application interne interrégional avec des backends de groupes d'instances de VM.

Dans la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification d'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.

Créer une clé privée et un certificat

Pour créer une clé privée et un certificat, procédez comme suit:

1. Utilisez une autorité de certification tierce de confiance pour émettre le certificat avec la clé associée.

2. Vérifiez que le certificat est correctement enchaîné et qu'il est approuvé à la racine.

3. Préparez les fichiers suivants encodés au format PEM:

   • Fichier de certificat (CRT)
   • Fichier de clé privée correspondant (KEY)

Pour plus d'informations sur la façon de demander et de valider un certificat, consultez la page Créer une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Pour importer le certificat dans le gestionnaire de certificats, procédez comme suit:

Pour un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique ou un équilibreur de charge réseau proxy externe global:

Exécutez la commande suivante :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Remplacez les éléments suivants :

• CERTIFICATE_NAME: nom unique du certificat
• CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
• PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY

Pour un équilibreur de charge d'application interne interrégional:

Exécutez la commande suivante :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Remplacez les éléments suivants :

• CERTIFICATE_NAME: nom unique du certificat
• CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
• PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY

Déployer le certificat autogéré sur un équilibreur de charge

Les sections suivantes décrivent comment déployer sur un équilibreur de charge le certificat autogéré que vous avez importé dans le gestionnaire de certificats.

Selon le type d'équilibreur de charge, vous pouvez déployer des certificats comme suit:

• Pour les équilibreurs de charge suivants, déployez le certificat à l'aide d'un mappage de certificats :
  • Équilibreur de charge d'application externe global
  • Équilibreur de charge réseau proxy externe global
  • Équilibreur de charge d'application classique
• Pour l'équilibreur de charge d'application interne interrégional, déployez le certificat en l'associant directement au proxy cible.

Déployer le certificat à l'aide d'un mappage de certificats

Cette section décrit la procédure à suivre pour déployer un certificat à l'aide d'un mappage de certificats.

Créer un mappage de certificat

Créez un mappage de certificats qui référence l'entrée de mappage de certificats associée à votre certificat:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Remplacez CERTIFICATE_MAP_NAME par le nom du mappage de certificats cible.

Créer une entrée de mappage de certificats

Créez une entrée de mappage de certificats, puis associez-la à votre certificat autogéré et à votre mappage de certificats:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Remplacez les éléments suivants :

• CERTIFICATE_MAP_ENTRY_NAME: nom unique de l'entrée de mappage de certificats
• CERTIFICATE_MAP_NAME: nom de mappage de certificats auquel l'entrée de mappage de certificats est associée
• CERTIFICATE_NAME: nom du certificat que vous souhaitez associer à l'entrée de mappage de certificats
• HOSTNAME: nom d'hôte que vous souhaitez associer à l'entrée de mappage de certificats

Vérifier que l'entrée de mappage de certificats est active

Avant d'associer le mappage de certificats au proxy cible, exécutez la commande suivante pour vérifier si l'entrée de mappage de certificats est active:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Remplacez les éléments suivants :

• CERTIFICATE_MAP_ENTRY_NAME: nom unique de l'entrée de mappage de certificats
• CERTIFICATE_MAP_NAME: nom de mappage de certificats auquel l'entrée de mappage de certificats est associée

Si l'entrée de mappage de certificats est active, la Google Cloud CLI renvoie un résultat semblable à celui-ci:

createTime: '2021-09-06T10:01:56.229472109Z'
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Créer le proxy HTTPS cible

Pour créer un proxy HTTPS cible, consultez la page Créer un proxy cible.

Associer le mappage de certificats au proxy cible

Pour associer le mappage de certificats configuré au proxy cible, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Proxys cibles.

   Accéder aux proxys cibles

2. Notez le nom du proxy cible.

3. Pour associer le mappage de certificats au proxy cible, exécutez la commande suivante:

   gcloud compute target-https-proxies update PROXY_NAME \
      --certificate-map="CERTIFICATE_MAP_NAME"
   

   Remplacez les éléments suivants :

   • PROXY_NAME: nom du proxy cible
   • CERTIFICATE_MAP_NAME: nom du mappage de certificats qui référence l'entrée de mappage de certificats et le certificat associé

Si des certificats TLS (SSL) sont associés directement au proxy, celui-ci donne la priorité aux certificats référencés par le mappage de certificats par rapport aux certificats associés directement.

Créer une règle de transfert

Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge. Pour en savoir plus, consultez la section Utiliser des règles de transfert.

Associer le certificat directement au proxy cible

Pour associer le certificat directement au proxy, exécutez la commande suivante:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

• PROXY_NAME: nom unique du proxy.
• URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.
• CERTIFICATE_NAME: nom du certificat.

Effectuer un nettoyage

Pour annuler les modifications apportées dans ce tutoriel, procédez comme suit:

1. Dissociez le mappage de certificats du proxy:

   gcloud compute target-https-proxies update PROXY_NAME \
      --clear-certificate-map
   

   Remplacez PROXY_NAME par le nom du proxy cible.

   Avant de dissocier le mappage de certificats du proxy, tenez compte des points suivants:

   • Assurez-vous qu'au moins un certificat TLS (SSL) est directement associé au proxy. Si aucun certificat n'est associé au proxy, vous ne pouvez pas dissocier le mappage de certificats.
   • La dissociation du mappage de certificats d'un proxy permet au proxy de reprendre l'utilisation de certificats TLS (SSL) directement associés au proxy.

2. Supprimez l'entrée de mappage de certificats du mappage:

   gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
      --map="CERTIFICATE_MAP_NAME"
   

   Remplacez les éléments suivants :

   • CERTIFICATE_MAP_ENTRY_NAME: nom de l'entrée de mappage de certificats cibles
   • CERTIFICATE_MAP_NAME: nom du mappage de certificats cible

3. Supprimez le mappage de certificats:

   gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
   

   Remplacez CERTIFICATE_MAP_NAME par le nom du mappage de certificats cible.

4. Supprimez le certificat importé:

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
   

   Remplacez CERTIFICATE_NAME par le nom du certificat cible.