Implantar um certificado autogerenciado global

Neste tutorial, mostramos como usar o Gerenciador de certificados para implantar um certificado autogerenciado global.

Os seguintes balanceadores de carga oferecem suporte a certificados autogerenciados globais:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de aplicativo clássico
  • Balanceador de carga de rede de proxy externo global
  • Balanceador de carga de rede de proxy clássico

Se você quiser implantar em balanceadores de carga regionais ou entre regiões, consulte:

Objetivos

Nesta seção, mostramos como concluir as seguintes tarefas:

  • Faça upload de um certificado autogerenciado para o Gerenciador de certificados.
  • Implante o certificado em um balanceador de carga compatível usando um proxy HTTPS de destino.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  10. Install the Google Cloud CLI.

  11. To initialize the gcloud CLI, run the following command: 

    gcloud init

Funções exigidas

Confira se você tem os seguintes papéis para concluir as tarefas deste tutorial:

  • Proprietário do Gerenciador de certificados (roles/certificatemanager.owner)

    Necessário para criar e gerenciar recursos do Gerenciador de certificados.

  • Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin) ou administrador da rede do Compute (roles/compute.networkAdmin)

    É necessário para criar e gerenciar o proxy de destino HTTPS.

Para ver mais informações, consulte os seguintes tópicos:

Criar o balanceador de carga

Este tutorial pressupõe que você já criou e configurou os back-ends, as verificações de integridade, os serviços de back-end e os mapas de URL do balanceador de carga. Se você criou um balanceador de carga de aplicativo externo, anote o nome do mapa de URL, porque ele será necessário mais adiante neste tutorial.

Se você não criou o balanceador de carga, consulte as páginas a seguir para criar um:

Criar uma chave privada e um certificado

Para criar uma chave privada e um certificado, faça o seguinte:

  1. Use uma autoridade certificadora (AC) terceirizada confiável para emitir o certificado com a chave associada.

  2. Verifique se o certificado está corretamente encadeado e tem confiança raiz.

  3. Prepare os seguintes arquivos codificados em PEM:

    • O arquivo de certificado (CRT)
    • O arquivo de chave privada correspondente (KEY)

Para informações sobre como solicitar e validar um certificado, consulte Criar uma chave privada e um certificado.

Fazer upload de um certificado autogerenciado para o Gerenciador de certificados

Para fazer upload do certificado no Gerenciador de certificados, faça o seguinte:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global.

  6. Em Escopo, selecione Padrão.

  7. Em Tipo de certificado, selecione Criar certificado autogerenciado.

  8. No campo Certificado, faça uma das seguintes ações:

    • Clique no botão Upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, faça uma destas opções:

    • Clique no botão Upload e selecione sua chave privada. A chave privada precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado autogerenciado global, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça o upload do certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.

Implantar o certificado autogerenciado em um balanceador de carga

Para implantar o certificado autogerenciado global, use um mapa de certificados.

Criar um CertificateMap

Crie um mapa de certificados que faça referência à entrada de mapa de certificados associada ao seu certificado:

gcloud

Para criar um mapa de certificado, use o comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Substitua CERTIFICATE_MAP_NAME pelo nome do mapa de certificado de destino.

Terraform

Para criar um mapa de certificado, use um recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Criar uma entrada do mapa de certificados

Crie uma entrada de mapa de certificados e a associe ao seu certificado e ao mapa de certificados:

gcloud

Para criar uma entrada de mapa de certificado, use o comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
  • CERTIFICATE_MAP_NAME: o nome do mapa de certificados ao qual a entrada do mapa de certificados está anexada.
  • CERTIFICATE_NAME: o nome do certificado que você quer associar à entrada do mapa de certificados.

  • HOSTNAME: o nome do host que você quer associar à entrada do mapa de certificados.

    Se você estiver criando certificados com um domínio curinga, especifique o nome do host com um curinga também, como *.example.com.

Terraform

Para criar uma entrada de mapa de certificado, use um recurso google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Verificar se a entrada do mapa de certificados está ativa

Verifique se a entrada do mapa de certificados está ativa antes de anexar o mapa de certificado correspondente ao proxy de destino.

Para verificar a entrada do mapa de certificados, use o comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
  • CERTIFICATE_NAME: o nome do certificado que você quer associar à entrada do mapa de certificados.

O resultado será assim:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Anexar o mapa de certificado ao proxy de destino

É possível anexar o mapa de certificado a um novo proxy de destino ou a um proxy de destino existente.

gcloud

Para anexar o mapa de certificado a um novo proxy de destino, use o comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Substitua:

  • PROXY_NAME: o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME: o nome do mapa de certificado que faz referência à entrada do mapa de certificado e ao certificado associado.
  • URL_MAP: o nome do mapa de URL

Para anexar o mapa de certificado a um proxy HTTPS de destino, use o comando gcloud compute target-https-proxies update. Se você não souber o nome do proxy de destino atual, acesse a página Proxy de destino e anote o nome dele.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Depois de criar ou atualizar o proxy de destino, execute o seguinte comando para verificar:

gcloud compute target-https-proxies list

Terraform

Para anexar o mapa de certificado ao proxy de destino, use um recurso google_compute_target_https_proxy.

Ao configurar um proxy de destino, se você anexar certificados TLS (SSL) diretamente e também por um mapa de certificados, o proxy usará os certificados referenciados pelo mapa de certificados e ignorará os certificados TLS (SSL) anexados diretamente.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste tutorial, exclua-os.

  1. Exclua o balanceador de carga e os recursos dele.

    Consulte Limpar uma configuração de balanceamento de carga

  2. Exclua ou desconecte o mapa de certificados do proxy.

    Para excluir o mapa de certificados, execute o seguinte comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Se você quiser manter o proxy HTTPS de destino, remova o mapa de certificado do proxy. Antes de desconectar o mapa de certificado, observe o seguinte:

    • Se houver certificados TLS (SSL) anexados diretamente ao proxy, a remoção do mapa de certificados faz com que o proxy volte a usar esses certificados TLS (SSL) anexados diretamente.
    • Se não houver certificados TLS (SSL) anexados diretamente ao proxy, o mapa de certificado não poderá ser removido do proxy. É necessário anexar pelo menos um certificado TLS (SSL) diretamente ao proxy antes de desconectar o mapa de certificado.

    Para desconectar o mapeamento de certificado, execute o seguinte comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Substitua PROXY_NAME pelo nome do proxy de destino.

  3. Exclua a entrada do mapa de certificados:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Substitua:

    • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificados.

  4. Exclua o mapa de certificados:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Substitua CERTIFICATE_MAP_NAME pelo nome do mapa de certificado.

  5. Exclua o certificado enviado:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Substitua CERTIFICATE_NAME pelo nome do certificado.

A seguir