Esegui il deployment di un certificato autogestito globale

Questo tutorial descrive come utilizzare Gestore certificati per eseguire il deployment di un certificato autogestito globale.

I seguenti bilanciatori del carico supportano i certificati autogestiti globali:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico di rete proxy esterno globale
  • Bilanciatore del carico delle applicazioni interno tra regioni

Per eseguire il deployment di un certificato autogestito su un bilanciatore del carico delle applicazioni esterno regionale o su un bilanciatore del carico delle applicazioni interno regionale, vedi Eseguire il deployment di un certificato autogestito a livello di regione.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Carica un certificato autogestito in Gestore certificati.
  • Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Assicurati di disporre dei seguenti ruoli per completare le attività in questo tutorial:

    • Proprietario del Gestore certificati: obbligatorio per creare e gestire le risorse del Gestore certificati.
    • Amministratore bilanciatore del carico Compute o Amministratore rete Compute: obbligatorio per creare e gestire il proxy di destinazione HTTPS.

    Per ulteriori informazioni, consulta le seguenti risorse:

crea il bilanciatore del carico

Crea il bilanciatore del carico in cui vuoi eseguire il deployment del certificato.

Il resto di questo tutorial presuppone che tu abbia già configurato i backend, il controllo di integrità, il servizio di backend e la mappa URL del bilanciatore del carico. Prendi nota del nome della mappa URL perché ti servirà più avanti in questo tutorial.

Crea una chiave privata e un certificato

Per creare una chiave privata e un certificato:

  1. Utilizza un'autorità di certificazione (CA) di terze parti attendibile per emettere il certificato insieme alla chiave associata.

  2. Verifica che il certificato sia correttamente concatenato e attendibile.

  3. Prepara i seguenti file con codifica PEM:

    • Il file del certificato (CRT)
    • Il file della chiave privata corrispondente (KEY)

Per informazioni su come richiedere e convalidare un certificato, consulta Creare una chiave privata e un certificato.

Carica un certificato autogestito in Gestore certificati

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli Globale.

  7. Per Ambito, scegli una delle seguenti opzioni:

    1. Predefinito: scegli l'impostazione predefinita per un Bilanciatore del carico delle applicazioni esterno globale, un Bilanciatore del carico delle applicazioni classico o un Bilanciatore del carico di rete proxy esterno globale
    2. Tutte le regioni: scegli tutte le regioni per un bilanciatore del carico delle applicazioni interno tra regioni

  8. In Tipo di certificato, scegli Crea certificato autogestito.

  9. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  10. Per il campo Certificato di chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la tua chiave privata. La chiave privata deve essere in formato PEM e non deve essere protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  11. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  12. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud

Per caricare il certificato in Gestore certificati, segui questi passaggi:

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome univoco del certificato
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT
  • PRIVATE_KEY_FILE: il percorso e il nome file del file della chiave privata KEY

Per un bilanciatore del carico delle applicazioni interno tra regioni:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE" \
   --scope=all-regions

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome univoco del certificato
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT
  • PRIVATE_KEY_FILE: il percorso e il nome file del file della chiave privata KEY

Esegui il deployment del certificato autogestito su un bilanciatore del carico

Le sezioni seguenti descrivono come eseguire il deployment del certificato autogestito che hai caricato in Gestore certificati su un bilanciatore del carico.

A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:

Esegui il deployment del certificato utilizzando una mappa di certificati

Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa di certificati.

Crea una mappa di certificati

Crea una mappa dei certificati che fa riferimento alla voce della mappa dei certificati associata al tuo certificato:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa di certificati di destinazione.

Crea una voce della mappa di certificati

Crea una voce della mappa di certificati e associala al tuo certificato autogestito e alla mappa di certificati:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: un nome univoco della voce della mappa di certificati
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati
  • CERTIFICATE_NAME: il nome del certificato che vuoi associare alla voce della mappa di certificati
  • HOSTNAME: il nome host che vuoi associare alla voce della mappa di certificati

Verifica che la voce della mappa di certificati sia attiva

Prima di collegare la mappa di certificati al proxy di destinazione, esegui questo comando per verificare se la voce della mappa di certificati è attiva:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: un nome univoco della voce della mappa di certificati
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati

Se la voce della mappa di certificati è attiva, Google Cloud CLI restituisce un output simile al seguente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Crea il proxy di destinazione HTTPS

Per creare un proxy di destinazione HTTPS, consulta l'articolo Creare un proxy di destinazione.

Collega la mappa di certificati al proxy di destinazione

Per collegare la mappa di certificati configurata al proxy di destinazione, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Proxy di destinazione.

    Vai a Proxy di destinazione

  2. Prendi nota del nome del proxy di destinazione.

  3. Per collegare la mappa di certificati al proxy di destinazione, esegui questo comando:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • PROXY_NAME: il nome del proxy di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati che fa riferimento alla voce della mappa di certificati e al certificato associato

Se un certificato TLS (SSL) viene collegato direttamente al proxy, il proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati rispetto ai certificati direttamente collegati.

Creare una regola di forwarding

Configura una regola di forwarding e completa la configurazione del bilanciatore del carico. Per ulteriori informazioni, consulta Utilizzare le regole di forwarding.

Collega il certificato direttamente al proxy di destinazione

Per collegare il certificato direttamente al proxy, esegui questo comando:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROXY_NAME: un nome univoco del proxy.
  • URL_MAP: il nome della mappa URL. La mappa URL è stata creata durante la creazione del bilanciatore del carico.
  • CERTIFICATE_NAME: il nome del certificato.

Esegui la pulizia

Per ripristinare le modifiche apportate in questo tutorial, completa i seguenti passaggi:

  1. Scollega la mappa di certificati dal proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

    Prima di scollegare la mappa di certificati dal proxy, tieni presente quanto segue:

    • Assicurati che almeno un certificato TLS (SSL) sia collegato direttamente al proxy. Se al proxy non sono collegati certificati, non puoi scollegare la mappa di certificati.
    • Lo scollegamento della mappa di certificati da un proxy consente al proxy di riprendere a utilizzare i certificati TLS (SSL) che sono stati collegati direttamente al proxy.

  2. Elimina la voce della mappa di certificati dalla mappa di certificati:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati di destinazione

  3. Elimina la mappa di certificati:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa di certificati di destinazione.

  4. Elimina il certificato caricato:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

Passaggi successivi