Globales selbstverwaltetes Zertifikat bereitstellen

In dieser Anleitung wird beschrieben, wie Sie mit dem Zertifikatmanager ein globales selbstverwaltetes Zertifikat bereitstellen.

Die folgenden Load Balancer unterstützen globale selbstverwaltete Zertifikate:

  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer
  • Globaler externer Proxy-Network Load Balancer
  • Regionsübergreifender interner Application Load Balancer

Informationen zum Bereitstellen eines selbstverwalteten Zertifikats auf einem regionalen externen Application Load Balancer oder einem regionalen internen Application Load Balancer finden Sie unter Regionales selbstverwaltetes Zertifikat bereitstellen.

Lernziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

  • Laden Sie ein selbstverwaltetes Zertifikat in den Zertifikatmanager hoch.
  • Stellen Sie das Zertifikat mithilfe eines HTTPS-Zielproxys für einen unterstützten Load-Balancer bereit.

Weitere Informationen zur Bereitstellung von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Hinweise

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung ausführen zu können:

    • Zertifikatmanager-Inhaber: Erforderlich zum Erstellen und Verwalten von Zertifikatmanager-Ressourcen.
    • Compute Load Balancer Admin oder Compute Network Admin: Erforderlich zum Erstellen und Verwalten von HTTPS-Zielproxys.

    Hier finden Sie weitere Informationen:

Load-Balancer erstellen

Erstellen Sie den Load Balancer, an dem Sie das Zertifikat bereitstellen möchten.

Im weiteren Verlauf dieser Anleitung wird davon ausgegangen, dass Sie die Back-Ends, die Systemdiagnose, den Back-End-Dienst und die URL-Zuordnung des Load-Balancers bereits konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.

Privaten Schlüssel und Zertifikat erstellen

So erstellen Sie einen privaten Schlüssel und ein Zertifikat:

  1. Verwenden Sie eine vertrauenswürdige Zertifizierungsstelle eines Drittanbieters, um das Zertifikat mit dem zugehörigen Schlüssel auszustellen.

  2. Prüfen Sie, ob das Zertifikat ordnungsgemäß verkettet und als Root-vertrauenswürdig eingestuft ist.

  3. Bereiten Sie die folgenden PEM-codierten Dateien vor:

    • Zertifikatsdatei (CRT)
    • Die entsprechende private Schlüsseldatei (KEY)

Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Privaten Schlüssel und Zertifikat erstellen.

Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.

  3. Klicken Sie auf Zertifikat hinzufügen.

  4. Geben Sie einen Namen für das Zertifikat ein.

    Dieser Name muss für das Projekt eindeutig sein.

  5. Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Mithilfe der Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.

  6. Wählen Sie für Standort die Option Global aus.

  7. Wählen Sie für Umfang eine der folgenden Optionen aus:

    1. Standard: Wählen Sie den Standard für einen globalen externen Application Load Balancer, einen klassischen Application Load Balancer oder einen globalen externen Proxy-Network Load Balancer aus.
    2. Alle Regionen: Wählen Sie „Alle Regionen“ für einen regionenübergreifenden internen Application Load Balancer aus.

  8. Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.

  9. Führen Sie im Feld Zertifikat einen der folgenden Schritte aus:

    • Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
    • Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.

  10. Im Feld Zertifikat für privaten Schlüssel haben Sie folgende Möglichkeiten:

    • Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr Der private Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
    • Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und mit -----END PRIVATE KEY----- enden.

  11. Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können bei Bedarf mehrere Labels hinzufügen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen key und einen value für das Label an.

  12. Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

So laden Sie das Zertifikat in den Zertifikatmanager hoch:

Für einen globalen externen Application Load Balancer, einen klassischen Application Load Balancer oder einen globalen externen Proxy-Network Load Balancer:

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE"

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der eindeutige Name des Zertifikats
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei

Für einen regionsübergreifenden internen Application Load Balancer:

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --certificate-file="CERTIFICATE_FILE" \
   --private-key-file="PRIVATE_KEY_FILE" \
   --scope=all-regions

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der eindeutige Name des Zertifikats
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei

Selbstverwaltetes Zertifikat für einen Load-Balancer bereitstellen

In den folgenden Abschnitten wird beschrieben, wie Sie das selbstverwaltete Zertifikat, das Sie in den Zertifikatmanager hochgeladen haben, auf einem Load Balancer bereitstellen.

Je nach Load Balancer-Typ können Sie Zertifikate so bereitstellen:

Zertifikat mit einer Zertifikatszuordnung bereitstellen

In diesem Abschnitt werden die Schritte zum Bereitstellen eines Zertifikats mithilfe einer Zertifikatszuordnung beschrieben.

Zertifikatzuordnung erstellen

Zertifikatszuordnung erstellen die auf den Zertifikatszuordnungseintrag verweist mit Ihrem Zertifikat verknüpft sind:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ersetzen Sie CERTIFICATE_MAP_NAME durch den Namen der Zielzertifikatszuordnung.

Eintrag für Zertifikatszuordnung erstellen

Erstellen Sie einen Zertifikatszuordnungseintrag, und sie mit Ihren selbstverwaltetes Zertifikat und Zertifikatszuordnung:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: ein eindeutiger Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist
  • CERTIFICATE_NAME: Der Zertifikatsname, den Sie mit dem Zertifikatzuordnungseintrag verknüpfen möchten.
  • HOSTNAME: der Hostname, den Sie mit dem Eintrag der Zertifikatszuordnung verknüpfen möchten

Prüfen, ob der Eintrag in der Zertifikatszuordnung aktiv ist

Bevor Sie die Zertifikatszuordnung an den Zielproxy anhängen, führen Sie den folgenden Befehl aus, um zu prüfen, ob der Eintrag der Zertifikatszuordnung aktiv ist:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: ein eindeutiger Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an den der Zertifikatszuordnungseintrag angehängt ist

Wenn der Eintrag in der Zertifikatzuordnung aktiv ist, gibt die Google Cloud CLI eine Ausgabe ähnlich der folgenden zurück:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

HTTPS-Zielproxy erstellen

Informationen zum Erstellen eines HTTPS-Ziel-Proxys finden Sie unter Ziel-Proxy erstellen.

Zertifikatszuordnung an den Zielproxy anhängen

So hängen Sie die konfigurierte Zertifikatszuordnung an den Zielproxy an:

  1. Öffnen Sie in der Google Cloud Console die Seite Zielproxies.

    Zu Ziel-Proxys

  2. Notieren Sie sich den Namen des Zielproxys.

  3. Führen Sie den folgenden Befehl aus, um die Zertifikatszuordnung an den Zielproxy anzuhängen:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Ersetzen Sie Folgendes:

    • PROXY_NAME: der Name des Zielproxys
    • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, die auf den Eintrag Ihrer Zertifikatszuordnung und das zugehörige Zertifikat verweist.

Wenn TLS/SSL-Zertifikate direkt an die -Proxy gibt der Proxy den Zertifikaten, auf die die Zertifikatszuordnung verweist, den Vorzug vor direkt angehängten Zertifikaten.

Erstellen Sie eine Weiterleitungsregel.

Richten Sie eine Weiterleitungsregel ein und schließen Sie die Einrichtung des Load-Balancers ab. Für finden Sie unter Verwenden Sie Weiterleitungsregeln.

Zertifikat direkt an den Zielproxy anhängen

Führen Sie den folgenden Befehl aus, um das Zertifikat direkt an den Proxy anzuhängen:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROXY_NAME: Ein eindeutiger Name für den Proxy.
  • URL_MAP ist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load Balancers erstellt.
  • CERTIFICATE_NAME: der Name des Zertifikats.

Bereinigen

Führen Sie die folgenden Schritte aus, um die in dieser Anleitung vorgenommenen Änderungen rückgängig zu machen:

  1. Trennen Sie die Zertifikatszuordnung vom Proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Ersetzen Sie PROXY_NAME durch den Namen des Zielproxies.

    Beachten Sie Folgendes, bevor Sie die Zertifikatszuordnung vom Proxy trennen:

    • Achten Sie darauf, dass mindestens ein TLS/SSL-Zertifikat direkt an den Proxy angehängt ist. Wenn keine Zertifikate an den Proxy angehängt sind, können Sie die Zertifikatszuordnung nicht trennen.
    • Wenn Sie die Zertifikatszuordnung von einem Proxy trennen, kann der Proxy wieder TLS-Zertifikate (SSL) verwenden, die direkt mit dem Proxy verknüpft waren.

  2. Löschen Sie den Zertifikatszuordnungseintrag aus der Zertifikatszuordnung:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Ersetzen Sie Folgendes:

    • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zielzertifikatszuordnungseintrags
    • CERTIFICATE_MAP_NAME: der Name der Zielzertifikatzuordnung

  3. Löschen Sie die Zertifikatzuordnung:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Ersetzen Sie CERTIFICATE_MAP_NAME durch den Namen der Zielzertifikatszuordnung.

  4. Löschen Sie das hochgeladene Zertifikat:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.

Nächste Schritte