このチュートリアルでは、Certificate Manager を使用してグローバル セルフマネージド証明書をデプロイする方法について説明します。
次のロードバランサは、グローバル セルフマネージド証明書をサポートしています。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- グローバルな外部プロキシ ネットワーク ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
セルフマネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにデプロイするには、リージョン セルフマネージド証明書をデプロイするをご覧ください。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- セルフマネージド証明書を Certificate Manager にアップロードします。
- ターゲット HTTPS プロキシを使用して、サポートされているロードバランサに証明書をデプロイします。
証明書のデプロイ プロセスの詳細については、デプロイの概要をご覧ください。
始める前に
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
このチュートリアルのタスクを完了するための次のロールがあることを確認してください。
- Certificate Manager オーナー: Certificate Manager リソースの作成と管理に必要です。
- Compute ロードバランサ管理者または Compute ネットワーク管理者: HTTPS ターゲット プロキシの作成と管理に必要です。
詳しくは以下をご覧ください。
- Certificate Manager のロールと権限
- Compute Engine の Compute Engine の IAM ロールと権限
ロードバランサを作成する
証明書をデプロイするロードバランサを作成します。
グローバル外部アプリケーション ロードバランサを作成するには、VM インスタンス グループのバックエンドを使用してグローバル外部アプリケーション ロードバランサを設定するをご覧ください。
従来のアプリケーション ロードバランサを作成するには、マネージド インスタンス グループ バックエンドを使用した従来のアプリケーション ロードバランサの設定をご覧ください。
グローバル外部プロキシ ネットワーク ロードバランサ(SSL プロキシ)を作成するには、VM インスタンス グループのバックエンドを使用してグローバル外部プロキシ ネットワーク ロードバランサ(SSL プロキシ)を設定するをご覧ください。
グローバル外部プロキシ ネットワーク ロードバランサ(TCP プロキシ)を作成する。VM インスタンス グループのバックエンドを使用してグローバル外部プロキシ ネットワーク ロードバランサ(TCP プロキシ)を設定するをご覧ください。
クロスリージョンの内部アプリケーション ロードバランサを作成するには、VM インスタンス グループのバックエンドを使用したクロスリージョンの内部アプリケーション ロードバランサの設定をご覧ください。
このチュートリアルの残りの部分では、ロードバランサのバックエンド、ヘルスチェック、バックエンド サービス、URL マップがすでに構成されていることを前提としています。このチュートリアルの後半で必要になるため、URL マップの名前をメモしておきます。
秘密鍵と証明書を作成する
秘密鍵と証明書を作成するには、次の操作を行います。
信頼できる第三者認証局(CA)を利用して、証明書とそれに関連付けられた鍵を発行します。
証明書のチェーンとルート信頼が適切に行われていることを確認します。
次の PEM エンコード ファイルを準備します。
- 証明書ファイル(CRT)
- 対応する秘密鍵ファイル(KEY)
証明書をリクエストして検証する方法については、秘密鍵と証明書を作成するをご覧ください。
セルフマネージド証明書を Certificate Manager にアップロードします。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
表示されたページで、[証明書] タブを選択します。
[証明書を追加] をクリックします。
証明書の名前を入力します。
この名前は、プロジェクト内で一意にする必要があります。
省略可: 証明書の説明を入力します。説明は、後で特定の証明書を識別する際に役立ちます。
[ロケーション] で [グローバル] を選択します。
[範囲] で、次のオプションのいずれかを選択します。
- デフォルト: グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサのデフォルトを選択します。
- すべてのリージョン: クロスリージョン内部アプリケーション ロードバランサの場合は、すべてのリージョンを選択します。
[証明書の種類] で [セルフマネージド証明書を作成する] を選択します。
[証明書] フィールドについて、次のいずれかを行います。
- [アップロード] ボタンをクリックし、PEM 形式の証明書ファイルを選択します。
- PEM 形式の証明書のコンテンツをコピーして貼り付けます。コンテンツは
-----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる必要があります。
[秘密鍵証明書] フィールドで、次のいずれかを行います:
- [アップロード] ボタンをクリックし、秘密鍵を選択します。秘密鍵は PEM 形式で、パスフレーズで保護されていない必要があります。
- PEM 形式の秘密鍵のコンテンツをコピーして貼り付けます。秘密鍵は
-----BEGIN PRIVATE KEY-----で始まり、-----END PRIVATE KEY-----で終わる必要があります。
証明書に関連付けるラベルを指定します。必要に応じて、複数のラベルを追加できます。ラベルを追加するには、[add_box ラベルの追加] ボタンをクリックして、ラベルの
keyとvalueを指定します。[作成] をクリックします。新しい証明書が証明書のリストに表示されていることを確認します。
gcloud
証明書を Certificate Manager にアップロードする手順は次のとおりです。
グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE"
以下のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前CERTIFICATE_FILE: CRT 証明書ファイルのパスとファイル名PRIVATE_KEY_FILE: KEY 秘密鍵ファイルのパスとファイル名
クロスリージョン内部アプリケーション ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --scope=all-regions
以下のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前CERTIFICATE_FILE: CRT 証明書ファイルのパスとファイル名PRIVATE_KEY_FILE: KEY 秘密鍵ファイルのパスとファイル名
セルフマネージド証明書をロードバランサにデプロイする
以降のセクションでは、Certificate Manager にアップロードしたセルフマネージド証明書をロードバランサにデプロイする方法について説明します。
ロードバランサの種類に応じて、証明書を次のようにデプロイできます。
- 次のロードバランサの場合は、証明書マップを使用して証明書をデプロイします。
- グローバル外部アプリケーション ロードバランサ
- グローバルな外部プロキシ ネットワーク ロードバランサ
- 従来のアプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサの場合は、証明書をターゲット プロキシに直接接続して証明書をデプロイします。
証明書マップを使用して証明書をデプロイする
このセクションでは、証明書マップを使用して証明書をデプロイする手順について説明します。
CertificateMap を作成する
証明書に関連付けられている証明書マップエントリを参照する証明書マップを作成します。
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAME は、ターゲット証明書マップの名前に置き換えます。
証明書マップ エントリを作成する
証明書マップエントリを作成し、セルフマネージド証明書と証明書マップに関連付けます。
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAME" \
--hostname="HOSTNAME"
以下のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: 証明書マップエントリの一意の名前CERTIFICATE_MAP_NAME: 証明書マップエントリが接続されている証明書マップ名CERTIFICATE_NAME: 証明書マップエントリに関連付ける証明書名HOSTNAME: 証明書マップエントリに関連付けるホスト名
証明書マップエントリが有効であることを確認する
証明書マップをターゲット プロキシに接続する前に、次のコマンドを実行して証明書マップエントリが有効かどうかを確認します。
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
以下のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: 証明書マップエントリの一意の名前CERTIFICATE_MAP_NAME: 証明書マップエントリが接続されている証明書マップ名
証明書マップ エントリがアクティブな場合、Google Cloud CLI から次のような出力が返されます。
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
HTTPS ターゲット プロキシを作成する
HTTPS ターゲット プロキシを作成するには、ターゲット プロキシを作成するをご覧ください。
証明書マップをターゲット プロキシに添付する
構成した証明書マップをターゲット プロキシに添付する手順は次のとおりです。
Google Cloud コンソールで、[ターゲット プロキシ] ページに移動します。
ターゲット プロキシの名前に注意します。
証明書マップをターゲット プロキシに接続するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
以下のように置き換えます。
PROXY_NAME: ターゲット プロキシの名前CERTIFICATE_MAP_NAME: 証明書マップエントリとその関連証明書を参照する証明書マップの名前
TLS(SSL)証明書がプロキシに直接添付されている場合、プロキシは、直接添付されている証明書よりも、証明書マップによって参照される証明書を優先します。
転送ルールの作成
転送ルールを設定して、ロードバランサの設定を完了します。詳細については、ファイアウォール ルールの使用をご覧ください。
証明書をターゲット プロキシに直接添付する
証明書をプロキシに直接添付するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \
--url-map=URL_MAP \
--global \
--certificate-manager-certificates=CERTIFICATE_NAME
以下のように置き換えます。
PROXY_NAME: プロキシの一意の名前。URL_MAP: URL マップの名前。ロードバランサの作成時に URL マップを作成しました。CERTIFICATE_NAME: 証明書の名前。
クリーンアップ
このチュートリアルで行った変更を元に戻すには、次の手順を行います。
プロキシから証明書マップを切断します。
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
PROXY_NAMEは、ターゲット プロキシの名前に置き換えます。プロキシから証明書マップを切断する前に、次の点に注意してください。
- 少なくとも 1 つの TLS(SSL)証明書がプロキシに直接添付されていることを確認します。プロキシに証明書が添付されていない場合、証明書マップを切断することはできません。
- プロキシから証明書マップを切断すると、プロキシはプロキシに直接接続された TLS(SSL)証明書の使用を再開できます。
証明書マップから証明書マップエントリを削除します。
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
以下のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: ターゲット証明書マップエントリの名前CERTIFICATE_MAP_NAME: ターゲット証明書マップの名前
証明書マップを削除します。
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAMEは、ターゲット証明書マップの名前に置き換えます。アップロードした証明書を削除します。
gcloud certificate-manager certificates delete CERTIFICATE_NAME
CERTIFICATE_NAMEは、ターゲット証明書の名前に置き換えます。