Déployer un certificat autogéré global

Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré mondial.

Les équilibreurs de charge suivants sont compatibles avec les certificats autogérés globaux :

  • Équilibreur de charge d'application externe mondial
  • Équilibreur de charge d'application classique
  • Équilibreur de charge réseau proxy externe global
  • Équilibreur de charge d'application interne interrégional

Pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, consultez Déployer un certificat autogéré régional.

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

  • Importez un certificat autogéré dans le gestionnaire de certificats.
  • Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.

Pour en savoir plus sur le processus de déploiement des certificats, consultez la section Présentation du déploiement.

Avant de commencer

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Pour effectuer les tâches de ce tutoriel, assurez-vous de disposer des rôles suivants :

    • Propriétaire du gestionnaire de certificats : rôle requis pour créer et gérer des ressources du gestionnaire de certificats.
    • Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: nécessaire pour créer et gérer un proxy cible HTTPS.

    Pour en savoir plus, consultez les ressources suivantes :

Créer l'équilibreur de charge

Créez l'équilibreur de charge sur lequel vous souhaitez déployer le certificat.

Dans la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification de l'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom de la mise en correspondance d'URL, car vous en aurez besoin plus tard dans ce tutoriel.

Créer une clé privée et un certificat

Pour créer une clé privée et un certificat, procédez comme suit :

  1. Utilisez une autorité de certification (CA) tierce approuvée pour émettre le certificat avec la clé associée.

  2. Vérifiez que le certificat est correctement enchaîné et approuvé par la racine.

  3. Préparez les fichiers encodés en PEM suivants :

    • Fichier de certificat CRT
    • Le fichier de clé privée (KEY) correspondant

Pour en savoir plus sur la façon de demander et de valider un certificat, consultez Créez une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Certificats.

  3. Cliquez sur Ajouter un certificat.

  4. Saisissez un nom pour le certificat.

    Ce nom doit être unique au projet.

  5. Facultatif: saisissez la description du certificat. La description vous permet d'identifier un certificat spécifique par la suite.

  6. Dans Emplacement, sélectionnez Mondial.

  7. Pour Portée, choisissez l'une des options suivantes:

    1. Par défaut: choisissez la valeur par défaut pour un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique ou un équilibreur de charge réseau proxy externe global.
    2. All-regions (Toutes les régions) : choisissez toutes les régions pour un équilibreur de charge d'application interne interrégional.

  8. Dans le champ Type de certificat, sélectionnez Créer un certificat autogéré.

  9. Dans le champ Certificat, effectuez l'une des opérations suivantes:

    • Cliquez sur le bouton Importer et sélectionnez votre fichier PEM fichier de certificat.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.

  10. Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.

  11. Spécifiez un libellé à associer au certificat. Vous pouvez ajouter plusieurs étiquettes, si nécessaire. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.

  12. Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour importer le certificat dans le gestionnaire de certificats, procédez comme suit:

Pour un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique ou un équilibreur de charge réseau proxy externe global:

Exécutez la commande suivante :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE"

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom unique du certificat
  • CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
  • PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY

Pour un équilibreur de charge d'application interne interrégional :

Exécutez la commande suivante :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE" \
   --scope=all-regions

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom unique du certificat
  • CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT
  • PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY

Déployer le certificat autogéré sur un équilibreur de charge

Les sections suivantes décrivent comment déployer le certificat autogéré que vous avez importé dans le Gestionnaire de certificats sur un équilibreur de charge.

Selon le type d'équilibreur de charge, vous pouvez déployer des certificats comme suit :

Déployer le certificat à l'aide d'un mappage de certificats

Cette section décrit les étapes à suivre pour déployer un certificat à l'aide d'un mappage de certificats.

Créer un mappage de certificat

Créez un mappage de certificat qui fait référence à l'entrée de mappage de certificat associée à votre certificat :

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Remplacez CERTIFICATE_MAP_NAME par le nom du mappage de certificat cible.

Créer une entrée de mappage de certificat

Créez une entrée de mappage de certificat et associez-la à votre certificat géré par l'utilisateur et à votre mappage de certificat :

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_ENTRY_NAME : nom unique de l'entrée de mappage de certificats
  • CERTIFICATE_MAP_NAME: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée
  • CERTIFICATE_NAME : nom du certificat que vous souhaitez associer à l'entrée de mappage de certificat
  • HOSTNAME: nom d'hôte que vous souhaitez associer avec l'entrée de mappage de certificat

Vérifier que l'entrée de mappage de certificat est active

Avant d'associer le mappage de certificat au proxy cible, exécutez la commande suivante pour vérifier si l'entrée de mappage de certificat est active :

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_ENTRY_NAME : nom unique de l'entrée de mappage de certificats
  • CERTIFICATE_MAP_NAME: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée

Si l'entrée de la carte de certificat est active, la Google Cloud CLI renvoie un résultat semblable à celui-ci :

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Créer le proxy HTTPS cible

Pour créer un proxy cible HTTPS, consultez la section Créer un proxy cible.

Associer le mappage de certificat au proxy cible

Pour associer la carte de certificats configurée au proxy cible, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Proxys cibles.

    Accéder aux proxys cibles

  2. Notez le nom du proxy cible.

  3. Pour associer le mappage de certificat au proxy cible, exécutez la commande suivante :

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Remplacez les éléments suivants :

    • PROXY_NAME: nom du proxy cible
    • CERTIFICATE_MAP_NAME : nom du mappage de certificats qui fait référence à votre entrée de mappage de certificats et au certificat associé

Si des certificats TLS (SSL) sont associés directement au proxy, le proxy donne la priorité aux certificats référencés par le mappage de certificats par rapport aux certificats associés directement.

Créer une règle de transfert

Configurez une règle de transfert et terminez la configuration de l'équilibreur de charge. Pour en savoir plus, consultez la section Utiliser des règles de transfert.

Associer le certificat directement au proxy cible

Pour associer le certificat directement au proxy, exécutez la commande suivante:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROXY_NAME: nom unique du proxy.
  • URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lorsque vous avez créé l'équilibreur de charge.
  • CERTIFICATE_NAME: nom du certificat.

Effectuer un nettoyage

Pour annuler les modifications que vous avez apportées dans ce tutoriel, procédez comme suit:

  1. Dissociez le mappage de certificats du proxy :

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Remplacez PROXY_NAME par le nom du proxy cible.

    Avant de dissocier la carte de certificats du proxy, tenez compte des points suivants :

    • Assurez-vous qu'au moins un certificat TLS (SSL) est directement associé au proxy. Si aucun certificat n'est associé au proxy, vous ne pouvez pas dissocier le mappage de certificats.
    • La dissociation du mappage de certificats d'un proxy permet à celui-ci de reprendre l'utilisation des certificats TLS (SSL) directement associés au proxy.

  2. Supprimez l'entrée du mappage de certificat du mappage de certificat:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Remplacez les éléments suivants :

    • CERTIFICATE_MAP_ENTRY_NAME: nom de l'entrée de mappage de certificats cible
    • CERTIFICATE_MAP_NAME : nom du mappage de certificats cible

  3. Supprimez le mappage de certificat :

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Remplacez CERTIFICATE_MAP_NAME par le nom du mappage de certificat cible.

  4. Supprimez le certificat importé:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Remplacez CERTIFICATE_NAME par le nom du certificat cible.

Étape suivante