Men-deploy sertifikat global yang dikelola sendiri

Membuat load balancer

Buat load balancer tempat Anda ingin men-deploy sertifikat.

• Untuk membuat Load Balancer Aplikasi eksternal global, lihat Menyiapkan Load Balancer Aplikasi eksternal global dengan backend grup instance VM.

• Untuk membuat Load Balancer Aplikasi Klasik, lihat Menyiapkan Load Balancer Aplikasi Klasik dengan backend grup instance terkelola.

• Untuk membuat Load Balancer Jaringan proxy eksternal global (proxy SSL), lihat Menyiapkan Load Balancer Jaringan (proxy SSL) proxy eksternal global dengan backend grup instance VM.

• Untuk membuat Load Balancer Jaringan proxy eksternal global (proxy TCP), lihat Menyiapkan Load Balancer Jaringan (proxy TCP) proxy eksternal global dengan backend grup instance VM.

• Untuk membuat Load Balancer Aplikasi internal lintas region, lihat Menyiapkan Load Balancer Aplikasi internal Lintas region dengan backend grup instance VM.

Bagian selanjutnya dari tutorial ini mengasumsikan bahwa Anda telah mengonfigurasi backend, health check, layanan backend, dan peta URL load balancer. Perhatikan nama peta URL karena Anda akan memerlukannya nanti dalam tutorial ini.

Membuat kunci pribadi dan sertifikat

Untuk membuat kunci pribadi dan sertifikat, lakukan langkah berikut:

1. Gunakan certificate authority (CA) pihak ketiga tepercaya untuk menerbitkan sertifikat bersama dengan kunci terkait.

2. Pastikan sertifikat dirantai dengan benar dan dipercaya oleh root.

3. Siapkan file berenkode PEM berikut:

   • File sertifikat (CRT)
   • File kunci pribadi terkait (KEY)

Untuk informasi tentang cara meminta dan memvalidasi sertifikat, lihat Membuat kunci pribadi dan sertifikat.

Upload sertifikat yang dikelola sendiri ke Pengelola Sertifikat

Untuk mengupload sertifikat ke Pengelola Sertifikat, lakukan hal berikut:

Untuk Load Balancer Aplikasi eksternal Global, Load Balancer Aplikasi Klasik, atau Load Balancer Jaringan proxy eksternal global:

Jalankan perintah berikut:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Ganti kode berikut:

• CERTIFICATE_NAME: nama unik sertifikat
• CERTIFICATE_FILE: jalur dan nama file sertifikat CRT
• PRIVATE_KEY_FILE: jalur dan nama file dari file kunci pribadi KEY

Untuk Load Balancer Aplikasi internal lintas region:

Jalankan perintah berikut:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Ganti kode berikut:

• CERTIFICATE_NAME: nama unik sertifikat
• CERTIFICATE_FILE: jalur dan nama file sertifikat CRT
• PRIVATE_KEY_FILE: jalur dan nama file dari file kunci pribadi KEY

Men-deploy sertifikat yang dikelola sendiri ke load balancer

Bagian berikut menjelaskan cara men-deploy sertifikat yang dikelola sendiri yang Anda upload ke Pengelola Sertifikat ke load balancer.

Bergantung pada jenis load balancer, Anda dapat men-deploy sertifikat sebagai berikut:

• Untuk load balancer berikut, deploy sertifikat menggunakan peta sertifikat:
  • Load Balancer Aplikasi eksternal global
  • Load Balancer Jaringan proxy eksternal global
  • Load Balancer Aplikasi Klasik
• Untuk Load Balancer Aplikasi internal lintas region, deploy sertifikat dengan melampirkan langsung ke proxy target.

Men-deploy sertifikat menggunakan peta sertifikat

Bagian ini menjelaskan langkah-langkah untuk men-deploy sertifikat menggunakan peta sertifikat.

Membuat peta sertifikat

Buat peta sertifikat yang mereferensikan entri peta sertifikat yang terkait dengan sertifikat Anda:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ganti CERTIFICATE_MAP_NAME dengan nama peta sertifikat target.

Membuat entri peta sertifikat

Buat entri peta sertifikat, lalu kaitkan dengan sertifikat yang dikelola sendiri dan peta sertifikat Anda:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Ganti kode berikut:

• CERTIFICATE_MAP_ENTRY_NAME: nama unik entri peta sertifikat
• CERTIFICATE_MAP_NAME: nama peta sertifikat yang dilampirkan entri peta sertifikat
• CERTIFICATE_NAME: nama sertifikat yang ingin dikaitkan dengan entri peta sertifikat
• HOSTNAME: nama host yang ingin dikaitkan dengan entri peta sertifikat

Pastikan entri peta sertifikat aktif

Sebelum Anda melampirkan peta sertifikat ke proxy target, jalankan perintah berikut untuk memverifikasi apakah entri peta sertifikat aktif:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ganti kode berikut:

• CERTIFICATE_MAP_ENTRY_NAME: nama unik entri peta sertifikat
• CERTIFICATE_MAP_NAME: nama peta sertifikat yang dilampirkan entri peta sertifikat

Jika entri peta sertifikat aktif, Google Cloud CLI akan menampilkan output yang mirip dengan yang berikut ini:

createTime: '2021-09-06T10:01:56.229472109Z'
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Membuat proxy target HTTPS

Untuk membuat proxy target HTTPS, lihat Membuat proxy target.

Lampirkan peta sertifikat ke proxy target

Untuk melampirkan peta sertifikat yang dikonfigurasi ke proxy target, ikuti langkah berikut:

1. Di Konsol Google Cloud, buka halaman Target proxy.

   Buka Target proxy

2. Catat nama proxy target.

3. Untuk melampirkan peta sertifikat ke proxy target, jalankan perintah berikut:

   gcloud compute target-https-proxies update PROXY_NAME \
      --certificate-map="CERTIFICATE_MAP_NAME"
   

   Ganti kode berikut:

   • PROXY_NAME: nama proxy target
   • CERTIFICATE_MAP_NAME: nama peta sertifikat yang merujuk pada entri peta sertifikat Anda dan sertifikat terkaitnya

Jika ada sertifikat TLS (SSL) yang dilampirkan langsung ke proxy, proxy akan lebih memprioritaskan sertifikat yang dirujuk oleh peta sertifikat daripada sertifikat yang dilampirkan secara langsung.

Membuat aturan penerusan

Siapkan aturan penerusan dan selesaikan penyiapan load balancer. Untuk mengetahui informasi lebih lanjut, lihat Menggunakan aturan penerusan.

Lampirkan sertifikat langsung ke proxy target

Untuk melampirkan sertifikat langsung ke proxy, jalankan perintah berikut:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Ganti kode berikut:

• PROXY_NAME: nama unik proxy.
• URL_MAP: nama peta URL. Anda telah membuat peta URL saat membuat load balancer.
• CERTIFICATE_NAME: nama sertifikat.

Pembersihan

Untuk mengembalikan perubahan yang Anda buat dalam tutorial ini, selesaikan langkah-langkah berikut:

1. Lepaskan peta sertifikat dari proxy:

   gcloud compute target-https-proxies update PROXY_NAME \
      --clear-certificate-map
   

   Ganti PROXY_NAME dengan nama proxy target.

   Sebelum melepaskan peta sertifikat dari proxy, perhatikan hal-hal berikut:

   • Pastikan setidaknya satu sertifikat TLS (SSL) dilampirkan langsung ke proxy. Jika tidak ada sertifikat yang dilampirkan ke proxy, Anda tidak dapat melepaskan peta sertifikat.
   • Melepaskan peta sertifikat dari proxy memungkinkan proxy untuk melanjutkan penggunaan sertifikat TLS (SSL) yang langsung dilampirkan ke proxy.

2. Hapus entri peta sertifikat dari peta sertifikat:

   gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
      --map="CERTIFICATE_MAP_NAME"
   

   Ganti kode berikut:

   • CERTIFICATE_MAP_ENTRY_NAME: nama entri peta sertifikat target
   • CERTIFICATE_MAP_NAME: nama peta sertifikat target

3. Hapus peta sertifikat:

   gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
   

   Ganti CERTIFICATE_MAP_NAME dengan nama peta sertifikat target.

4. Hapus sertifikat yang diupload:

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
   

   Ganti CERTIFICATE_NAME dengan nama sertifikat target.