Esegui il deployment di un certificato autogestito globale

Questo tutorial descrive come utilizzare Gestione certificati per eseguire il deployment di un certificato autogestito globale.

I seguenti bilanciatori del carico supportano i certificati autogestiti globali:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico di rete proxy esterno globale
  • Bilanciatore del carico delle applicazioni interno tra regioni

Per eseguire il deployment di un certificato autogestito su un bilanciatore del carico delle applicazioni esterno regionale o su un bilanciatore del carico delle applicazioni interno regionale, vedi Eseguire il deployment di un certificato autogestito a livello di regione.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Carica un certificato autogestito in Gestione certificati.
  • Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.

Prima di iniziare

  1. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  2. Assicurati di disporre dei ruoli seguenti per completare le attività di questo tutorial:

    • Proprietario Certificate Manager: obbligatorio per creare e gestire le risorse di Certificate Manager.
    • Amministratore bilanciatore del carico Compute o Amministratore rete Compute: obbligatori per creare e gestire il proxy di destinazione HTTPS.

    Per ulteriori informazioni, consulta le seguenti risorse:

Crea il bilanciatore del carico

Crea il bilanciatore del carico in cui vuoi eseguire il deployment del certificato.

La parte rimanente di questo tutorial presuppone che tu abbia già configurato i backend, il controllo di integrità, il servizio di backend e la mappa URL del bilanciatore del carico. Prendi nota del nome della mappa URL perché ti servirà più avanti nel tutorial.

Crea una chiave privata e un certificato

Per creare una chiave privata e un certificato:

  1. Utilizza un'autorità di certificazione (CA) di terze parti attendibile per emettere il certificato insieme alla chiave associata.

  2. Verifica che il certificato sia concatenato correttamente e attendibile.

  3. Prepara i seguenti file con codifica PEM:

    • Il file del certificato (CRT)
    • Il file della chiave privata corrispondente (KEY)

Per informazioni su come richiedere e convalidare un certificato, consulta Creare un certificato e una chiave privata.

Carica un certificato autogestito in Gestione certificati

Per caricare il certificato in Gestione certificati, procedi nel seguente modo:

Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete proxy esterno globale:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome univoco del certificato
  • CERTIFICATE_FILE: percorso e nome file del file del certificato CRT
  • PRIVATE_KEY_FILE: percorso e nome file del file della chiave privata KEY

Per un Application Load Balancer interno tra regioni:

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome univoco del certificato
  • CERTIFICATE_FILE: percorso e nome file del file del certificato CRT
  • PRIVATE_KEY_FILE: percorso e nome file del file della chiave privata KEY

Esegui il deployment del certificato autogestito in un bilanciatore del carico

Le seguenti sezioni descrivono come eseguire il deployment in un bilanciatore del carico del certificato autogestito che hai caricato in Gestione certificati.

A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:

Esegui il deployment del certificato utilizzando una mappa dei certificati

Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa dei certificati.

Crea una mappa dei certificati

Crea una mappa dei certificati che fa riferimento alla voce della mappa certificati associata al tuo certificato:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa dei certificati di destinazione.

Crea una voce della mappa certificati

Crea una voce della mappa dei certificati e associala al tuo certificato autogestito e alla mappa dei certificati:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: nome univoco della voce della mappa dei certificati
  • CERTIFICATE_MAP_NAME: il nome della mappa certificati a cui è associata la voce della mappa certificati
  • CERTIFICATE_NAME: il nome del certificato da associare alla voce della mappa dei certificati
  • HOSTNAME: il nome host che vuoi associare alla voce della mappa dei certificati

Verifica che la voce della mappa certificati sia attiva

Prima di collegare la mappa dei certificati al proxy di destinazione, esegui questo comando per verificare se la voce della mappa dei certificati è attiva:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: nome univoco della voce della mappa dei certificati
  • CERTIFICATE_MAP_NAME: il nome della mappa certificati a cui è associata la voce della mappa certificati

Se la voce della mappa dei certificati è attiva, Google Cloud CLI restituisce un output simile al seguente:

createTime: '2021-09-06T10:01:56.229472109Z'
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Crea il proxy di destinazione HTTPS

Per creare un proxy di destinazione HTTPS, vedi Creare un proxy di destinazione.

Collega la mappa dei certificati al proxy di destinazione

Per collegare la mappa dei certificati configurata al proxy di destinazione, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina proxy di destinazione.

    Vai a Proxy di destinazione

  2. Prendi nota del nome del proxy di destinazione.

  3. Per collegare la mappa dei certificati al proxy di destinazione, esegui questo comando:

    gcloud compute target-https-proxies update PROXY_NAME \
   --certificate-map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • PROXY_NAME: il nome del proxy di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa certificati che fa riferimento alla voce della mappa dei certificati e al certificato associato

Se un certificato TLS (SSL) è collegato direttamente al proxy, quest'ultimo dà la precedenza ai certificati a cui fa riferimento la mappa dei certificati rispetto ai certificati direttamente collegati.

Creare una regola di forwarding

Imposta una regola di forwarding e completa la configurazione del bilanciatore del carico. Per ulteriori informazioni, consulta Utilizzare le regole di forwarding.

Collega il certificato direttamente al proxy di destinazione

Per collegare il certificato direttamente al proxy, esegui questo comando:

gcloud compute target-https-proxies update PROXY_NAME \
    --url-map=URL_MAP \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROXY_NAME: un nome univoco del proxy.
  • URL_MAP: il nome della mappa URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.
  • CERTIFICATE_NAME: il nome del certificato.

Esegui la pulizia

Per ripristinare le modifiche apportate in questo tutorial, completa i seguenti passaggi:

  1. Scollega la mappa dei certificati dal proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

    Prima di scollegare la mappa dei certificati dal proxy, tieni presente quanto segue:

    • Assicurati che almeno un certificato TLS (SSL) sia collegato direttamente al proxy. Se nessun certificato è collegato al proxy, non puoi scollegare la mappa dei certificati.
    • Lo scollegamento della mappa dei certificati da un proxy consente al proxy di riprendere a utilizzare i certificati TLS (SSL) direttamente collegati al proxy.

  2. Elimina la voce della mappa certificati dalla mappa dei certificati:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati di destinazione

  3. Elimina la mappa dei certificati:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa dei certificati di destinazione.

  4. Elimina il certificato caricato:

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

Passaggi successivi