Ce tutoriel explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré global.
Les équilibreurs de charge suivants sont compatibles avec les certificats autogérés mondiaux:
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge d'application interne interrégional
Pour déployer un certificat autogéré sur un équilibreur de charge d'application externe régional ou sur un équilibreur de charge d'application interne régional, consultez la page Déployer un certificat autogéré régional.
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
- Importer un certificat autogéré dans le gestionnaire de certificats
- Déployez le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.
Pour en savoir plus sur le processus de déploiement de certificats, consultez la section Présentation du déploiement.
Avant de commencer
-
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel:
- Propriétaire du gestionnaire de certificats: nécessaire pour créer et gérer les ressources du gestionnaire de certificats.
- Administrateur de l'équilibreur de charge Compute ou Administrateur de réseaux Compute: requis pour créer et gérer un proxy cible HTTPS.
Pour en savoir plus, consultez les ressources suivantes :
- Rôles et autorisations pour le gestionnaire de certificats
- Rôles et autorisations IAM de Compute Engine pour Compute Engine
Créer l'équilibreur de charge
Créez l'équilibreur de charge dans lequel vous souhaitez déployer le certificat.
Pour créer un équilibreur de charge d'application externe global, consultez Configurer un équilibreur de charge d'application externe global avec des backends de groupes d'instances de VM.
Pour créer un équilibreur de charge d'application classique, consultez Configurer un équilibreur de charge d'application classique avec des groupe d'instances géré d'instances gérés.
Pour créer un équilibreur de charge réseau proxy externe global (proxy SSL), consultez Configurer un équilibreur de charge réseau proxy externe global (proxy SSL) avec des backends de groupes d'instances de VM.
Pour créer un équilibreur de charge réseau proxy externe global (proxy TCP), consultez Configurer un équilibreur de charge réseau proxy externe global (proxy TCP) avec des backends de groupes d'instances de VM.
Pour créer un équilibreur de charge d'application interne interrégional, consultez la page Configurer un équilibreur de charge d'application interne interrégional avec des backends de groupes d'instances de VM.
Pour la suite de ce tutoriel, nous partons du principe que vous avez déjà configuré les backends, la vérification d'état, le service de backend et le mappage d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin dans la suite de ce tutoriel.
Créer une clé privée et un certificat
Pour créer une clé privée et un certificat, procédez comme suit:
Délivrez le certificat avec la clé associée à l'aide d'une autorité de certification tierce de confiance.
Vérifiez que le certificat est correctement enchaîné et qu'il est approuvé en tant que racine.
Préparez les fichiers encodés au format PEM suivants:
- Fichier de certificat (CRT)
- Le fichier de clé privée correspondant (KEY)
Pour savoir comment demander et valider un certificat, consultez la page Créer une clé privée et un certificat.
Importer un certificat autogéré dans le gestionnaire de certificats
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Attribuez un nom au certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aidera ultérieurement à identifier un certificat spécifique.
Pour Emplacement, sélectionnez Global.
Pour Champ d'application, sélectionnez l'une des options suivantes:
- Par défaut: sélectionnez la valeur par défaut pour l'équilibreur de charge d'application externe global, l'équilibreur de charge d'application classique ou l'équilibreur de charge réseau proxy externe global.
- Toutes les régions: sélectionnez toutes les régions pour un équilibreur de charge d'application interne interrégional.
Pour Type de certificat, sélectionnez Créer un certificat autogéré.
Dans le champ Certificat, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
- Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par
-----BEGIN CERTIFICATE-----
et se terminer par-----END CERTIFICATE-----
.
Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes:
- Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
- Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par
-----BEGIN PRIVATE KEY-----
et se terminer par-----END PRIVATE KEY-----
.
Spécifiez un libellé à associer au certificat. Vous pouvez ajouter plusieurs étiquettes, si nécessaire. Pour ajouter un libellé, cliquez sur le bouton add_box Ajouter un libellé, puis spécifiez les valeurs
key
etvalue
du libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
Pour importer le certificat dans le gestionnaire de certificats, procédez comme suit:
Pour un équilibreur de charge d'application externe global, un équilibreur de charge d'application classique ou un équilibreur de charge réseau proxy externe global:
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificatCERTIFICATE_FILE
: chemin d'accès et nom du fichier de certificat CRTPRIVATE_KEY_FILE
: chemin d'accès et nom du fichier de clé privée KEY
Pour un équilibreur de charge d'application interne interrégional :
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --scope=all-regions
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificatCERTIFICATE_FILE
: chemin d'accès et nom du fichier de certificat CRTPRIVATE_KEY_FILE
: chemin d'accès et nom du fichier de clé privée KEY
Déployer le certificat autogéré sur un équilibreur de charge
Les sections suivantes décrivent comment déployer le certificat autogéré que vous avez importé dans le gestionnaire de certificats vers un équilibreur de charge.
Selon le type d'équilibreur de charge, vous pouvez déployer des certificats comme suit:
- Pour les équilibreurs de charge suivants, déployez le certificat à l'aide d'un mappage de certificats :
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge d'application classique
- Pour l'équilibreur de charge d'application interne interrégional, déployez le certificat en l'associant directement au proxy cible.
Déployer le certificat à l'aide d'un mappage de certificats
Cette section décrit la procédure à suivre pour déployer un certificat à l'aide d'un mappage de certificats.
Créer un mappage de certificat
Créez un mappage de certificats qui référence l'entrée de mappage de certificats associée à votre certificat:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Remplacez CERTIFICATE_MAP_NAME
par le nom du mappage de certificat cible.
Créer une entrée de mappage de certificat
Créez une entrée de mappage de certificat et associez-la à votre certificat autogéré et à votre mappage de certificats:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom unique de l'entrée de mappage de certificatCERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel l'entrée de mappage de certificat est associéeCERTIFICATE_NAME
: nom du certificat que vous souhaitez associer à l'entrée de mappage de certificatHOSTNAME
: nom d'hôte que vous souhaitez associer à l'entrée de mappage de certificat
Vérifier que l'entrée de mappage de certificat est active
Avant d'associer le mappage de certificat au proxy cible, exécutez la commande suivante pour vérifier si l'entrée de mappage de certificats est active:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom unique de l'entrée de mappage de certificatCERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée
Si l'entrée de mappage de certificat est active, la Google Cloud CLI renvoie un résultat semblable à celui-ci:
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Créer le proxy HTTPS cible
Pour créer un proxy HTTPS cible, consultez la page Créer un proxy cible.
Associer le mappage de certificat au proxy cible
Pour associer le mappage de certificat configuré au proxy cible, procédez comme suit:
Dans la console Google Cloud, accédez à la page Proxys cibles.
Notez le nom du proxy cible.
Pour associer le mappage de certificat au proxy cible, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
PROXY_NAME
: nom du proxy cibleCERTIFICATE_MAP_NAME
: nom du mappage de certificats qui référence l'entrée de mappage de certificat et le certificat associé
Si des certificats TLS (SSL) sont associés directement au proxy, celui-ci donne la préférence aux certificats référencés par le mappage de certificats par rapport aux certificats associés directement.
Créer une règle de transfert
Définissez une règle de transfert et terminez la configuration de l'équilibreur de charge. Pour en savoir plus, consultez la section Utiliser des règles de transfert.
Associer le certificat directement au proxy cible
Pour associer le certificat directement au proxy, exécutez la commande suivante:
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
Remplacez les éléments suivants :
PROXY_NAME
: nom unique du proxy.URL_MAP
: nom du mappage d'URL. Vous avez créé le mappage d'URL lors de la création de l'équilibreur de charge.CERTIFICATE_NAME
: nom du certificat.
Effectuer un nettoyage
Pour annuler les modifications effectuées dans ce tutoriel, procédez comme suit:
Dissociez le mappage de certificat du proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Remplacez
PROXY_NAME
par le nom du proxy cible.Avant de dissocier le mappage de certificat du proxy, tenez compte des points suivants:
- Assurez-vous qu'au moins un certificat TLS (SSL) est directement associé au proxy. Si aucun certificat n'est associé au proxy, vous ne pouvez pas dissocier le mappage de certificats.
- La dissociation du mappage de certificats d'un proxy permet au proxy de réactiver l'utilisation de certificats TLS (SSL) directement associés au proxy.
Supprimez l'entrée de mappage de certificats du mappage de certificats:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de mappage de certificat cibleCERTIFICATE_MAP_NAME
: nom du mappage de certificat cible
Supprimez le mappage de certificat:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Remplacez
CERTIFICATE_MAP_NAME
par le nom du mappage de certificat cible.Supprimez le certificat importé:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Remplacez
CERTIFICATE_NAME
par le nom du certificat cible.