Questo tutorial descrive come utilizzare Gestione certificati per eseguire il deployment di un certificato autogestito globale.
I seguenti bilanciatori del carico supportano i certificati autogestiti globali:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico delle applicazioni interno tra regioni
Per eseguire il deployment di un certificato autogestito su un bilanciatore del carico delle applicazioni esterno regionale o su un bilanciatore del carico delle applicazioni interno regionale, vedi Eseguire il deployment di un certificato autogestito a livello di regione.
Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Carica un certificato autogestito in Gestione certificati.
- Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.
Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.
Prima di iniziare
-
Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.
Assicurati di disporre dei ruoli seguenti per completare le attività di questo tutorial:
- Proprietario Certificate Manager: obbligatorio per creare e gestire le risorse di Certificate Manager.
- Amministratore bilanciatore del carico Compute o Amministratore rete Compute: obbligatori per creare e gestire il proxy di destinazione HTTPS.
Per ulteriori informazioni, consulta le seguenti risorse:
- Ruoli e autorizzazioni per Certificate Manager
- Autorizzazioni e ruoli IAM di Compute Engine per Compute Engine
Crea il bilanciatore del carico
Crea il bilanciatore del carico in cui vuoi eseguire il deployment del certificato.
Per creare un Application Load Balancer esterno globale, vedi Configurare un Application Load Balancer esterno globale con backend di gruppi di istanze VM.
Per creare un bilanciatore del carico delle applicazioni classico, vedi Configurare un Application Load Balancer classico con gruppo di istanze gestite gestite.
Per creare un bilanciatore del carico di rete (proxy SSL) con proxy esterno globale, vedi Configurare un bilanciatore del carico di rete (proxy SSL) con proxy esterno globale con backend di gruppi di istanze VM.
Per creare un bilanciatore del carico di rete (proxy TCP) con proxy esterno globale, vedi Configurare un bilanciatore del carico di rete (proxy TCP) con proxy esterno globale con backend di gruppi di istanze VM.
Per creare un Application Load Balancer interno tra regioni, vedi Configurare un Application Load Balancer interno tra regioni con backend di gruppi di istanze VM.
La parte rimanente di questo tutorial presuppone che tu abbia già configurato i backend, il controllo di integrità, il servizio di backend e la mappa URL del bilanciatore del carico. Prendi nota del nome della mappa URL perché ti servirà più avanti nel tutorial.
Crea una chiave privata e un certificato
Per creare una chiave privata e un certificato:
Utilizza un'autorità di certificazione (CA) di terze parti attendibile per emettere il certificato insieme alla chiave associata.
Verifica che il certificato sia concatenato correttamente e attendibile.
Prepara i seguenti file con codifica PEM:
- Il file del certificato (CRT)
- Il file della chiave privata corrispondente (KEY)
Per informazioni su come richiedere e convalidare un certificato, consulta Creare un certificato e una chiave privata.
Carica un certificato autogestito in Gestione certificati
Per caricare il certificato in Gestione certificati, procedi nel seguente modo:
Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete proxy esterno globale:
Esegui questo comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE"
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome univoco del certificatoCERTIFICATE_FILE
: percorso e nome file del file del certificato CRTPRIVATE_KEY_FILE
: percorso e nome file del file della chiave privata KEY
Per un Application Load Balancer interno tra regioni:
Esegui questo comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --scope=all-regions
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome univoco del certificatoCERTIFICATE_FILE
: percorso e nome file del file del certificato CRTPRIVATE_KEY_FILE
: percorso e nome file del file della chiave privata KEY
Esegui il deployment del certificato autogestito in un bilanciatore del carico
Le seguenti sezioni descrivono come eseguire il deployment in un bilanciatore del carico del certificato autogestito che hai caricato in Gestione certificati.
A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:
- Per i seguenti bilanciatori del carico, esegui il deployment del certificato utilizzando una mappa dei certificati:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico delle applicazioni classico
- Per l'Application Load Balancer interno tra regioni, esegui il deployment del certificato collegandolo direttamente al proxy di destinazione.
Esegui il deployment del certificato utilizzando una mappa dei certificati
Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa dei certificati.
Crea una mappa dei certificati
Crea una mappa dei certificati che fa riferimento alla voce della mappa certificati associata al tuo certificato:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Sostituisci CERTIFICATE_MAP_NAME
con il nome della mappa dei certificati di destinazione.
Crea una voce della mappa certificati
Crea una voce della mappa dei certificati e associala al tuo certificato autogestito e alla mappa dei certificati:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: nome univoco della voce della mappa dei certificatiCERTIFICATE_MAP_NAME
: il nome della mappa certificati a cui è associata la voce della mappa certificatiCERTIFICATE_NAME
: il nome del certificato da associare alla voce della mappa dei certificatiHOSTNAME
: il nome host che vuoi associare alla voce della mappa dei certificati
Verifica che la voce della mappa certificati sia attiva
Prima di collegare la mappa dei certificati al proxy di destinazione, esegui questo comando per verificare se la voce della mappa dei certificati è attiva:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: nome univoco della voce della mappa dei certificatiCERTIFICATE_MAP_NAME
: il nome della mappa certificati a cui è associata la voce della mappa certificati
Se la voce della mappa dei certificati è attiva, Google Cloud CLI restituisce un output simile al seguente:
createTime: '2021-09-06T10:01:56.229472109Z' name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Crea il proxy di destinazione HTTPS
Per creare un proxy di destinazione HTTPS, vedi Creare un proxy di destinazione.
Collega la mappa dei certificati al proxy di destinazione
Per collegare la mappa dei certificati configurata al proxy di destinazione, segui questi passaggi:
Nella console Google Cloud, vai alla pagina proxy di destinazione.
Prendi nota del nome del proxy di destinazione.
Per collegare la mappa dei certificati al proxy di destinazione, esegui questo comando:
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
PROXY_NAME
: il nome del proxy di destinazioneCERTIFICATE_MAP_NAME
: il nome della mappa certificati che fa riferimento alla voce della mappa dei certificati e al certificato associato
Se un certificato TLS (SSL) è collegato direttamente al proxy, quest'ultimo dà la precedenza ai certificati a cui fa riferimento la mappa dei certificati rispetto ai certificati direttamente collegati.
Creare una regola di forwarding
Imposta una regola di forwarding e completa la configurazione del bilanciatore del carico. Per ulteriori informazioni, consulta Utilizzare le regole di forwarding.
Collega il certificato direttamente al proxy di destinazione
Per collegare il certificato direttamente al proxy, esegui questo comando:
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
Sostituisci quanto segue:
PROXY_NAME
: un nome univoco del proxy.URL_MAP
: il nome della mappa URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.CERTIFICATE_NAME
: il nome del certificato.
Esegui la pulizia
Per ripristinare le modifiche apportate in questo tutorial, completa i seguenti passaggi:
Scollega la mappa dei certificati dal proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Sostituisci
PROXY_NAME
con il nome del proxy di destinazione.Prima di scollegare la mappa dei certificati dal proxy, tieni presente quanto segue:
- Assicurati che almeno un certificato TLS (SSL) sia collegato direttamente al proxy. Se nessun certificato è collegato al proxy, non puoi scollegare la mappa dei certificati.
- Lo scollegamento della mappa dei certificati da un proxy consente al proxy di riprendere a utilizzare i certificati TLS (SSL) direttamente collegati al proxy.
Elimina la voce della mappa certificati dalla mappa dei certificati:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: il nome della voce della mappa dei certificati di destinazioneCERTIFICATE_MAP_NAME
: il nome della mappa dei certificati di destinazione
Elimina la mappa dei certificati:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Sostituisci
CERTIFICATE_MAP_NAME
con il nome della mappa dei certificati di destinazione.Elimina il certificato caricato:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Sostituisci
CERTIFICATE_NAME
con il nome del certificato di destinazione.