このページでは、Certificate Manager を使用して証明書をデプロイする手順について説明します。このページで説明する Certificate Manager エンティティの詳細については、Certificate Manager の仕組みをご覧ください。
Certificate Manager は、次のタイプの証明書をサポートしています。
Google マネージド証明書は、Google Cloud がお客様に代わり取得して管理する証明書です。 Certificate Manager では、次のタイプの Google マネージド証明書を作成できます。
セルフマネージド SSL 証明書は、ご自分で取得、プロビジョニング、更新する証明書です。
次の表に、Certificate Manager セルフマネージド証明書、Google マネージド証明書、またはその両方をサポートする Google Cloud ロードバランサを示します。
| ロードバランサ | Google が管理する証明書 | セルフマネージド証明書 | ||
|---|---|---|---|---|
| DNS 認証 | ロードバランサ認証 | Certificate Authority Service(CA Service) | ||
| グローバル外部アプリケーション ロードバランサ | info |
info |
info |
info |
| 従来のアプリケーション ロードバランサ | info |
info |
info |
info |
| グローバルな外部プロキシ ネットワーク ロードバランサ | info |
info |
info |
info |
| クロスリージョン内部アプリケーション ロードバランサ | info |
info |
info |
|
| リージョン外部アプリケーション ロードバランサ | info |
info |
info |
|
| リージョン内部アプリケーション ロードバランサ | info |
info |
info |
|
グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサに証明書をデプロイする
証明書をグローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサにデプロイするには、次のいずれかの方法を使用します。
Google マネージド証明書をデプロイする
Google マネージド証明書を使用して、グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサに証明書をデプロイするには、次の手順を行います。
- 次のいずれかの構成で Google マネージド証明書を作成します。
- この証明書の証明書マップを構成します。
- CertificateMap を作成します。
- この証明書を必要とするホスト名の証明書マップエントリを追加します。
- 省略可: ロードバランサが、この証明書マップでリクエストされたホスト名に固有の証明書を見つけることができない場合に使用するプライマリ証明書の証明書マップエントリを追加します。
- 証明書と対応する証明書マップエントリが有効であることを確認します。ロードバランサ認証で Google マネージド証明書を使用している場合、次の手順が完了し、証明書がプロビジョニングされた後にのみ、証明書がアクティブになります。
- ロードバランサ構成のターゲット プロキシに証明書マップを添付します。
セルフマネージド証明書をデプロイする
グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサにセルフマネージド証明書をデプロイするには、次の手順を行います。
- セルフマネージド証明書をアップロードする
- この証明書の証明書マップを構成します。
- CertificateMap を作成します。
- この証明書を必要とするホスト名の証明書マップエントリを追加します。
- 省略可: ロードバランサが、この証明書マップでリクエストされたホスト名に固有の証明書を見つけることができない場合に使用するプライマリ証明書の証明書マップエントリを追加します。
- 証明書と対応する証明書マップエントリが有効であることを確認します。ロードバランサ認証で Google マネージド証明書を使用している場合、次の手順が完了し、証明書がプロビジョニングされた後にのみ、証明書がアクティブになります。
- ロードバランサ構成のターゲット プロキシに証明書マップを添付します。
クロスリージョン内部アプリケーション ロードバランサに証明書をデプロイする
クロスリージョン内部アプリケーション ロードバランサに証明書をデプロイするには、次のいずれかの方法を使用します。
Google マネージド証明書をデプロイする
Google マネージド証明書をクロスリージョン内部アプリケーション ロードバランサにデプロイするには、次の手順を行います。
- 次のいずれかの構成で Google マネージド証明書を作成します。
- 証明書をターゲット プロキシに直接添付します。
セルフマネージド証明書をデプロイする
クロスリージョン内部アプリケーション ロードバランサにセルフマネージド証明書をデプロイするには、次の手順を行います。
セルフマネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにデプロイする {: #self-man-cert-reg }
セルフマネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにデプロイするには、次の手順を行います。
- セルフマネージド証明書をアップロードする
- ロードバランサの構成でターゲット プロキシに証明書を添付します。
既存の証明書を移行する
既存の証明書をロードバランサから Certificate Manager に移行する場合は、証明書を Certificate Manager に移行するの手順に沿って操作します。
相互 TLS 認証(mTLS)を使用する場合は、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。
次のステップ
- DNS 認証を使用して Google マネージド証明書をデプロイする(チュートリアル)
- ロードバランサの承認で Google マネージド証明書をデプロイする(チュートリアル)
- CA Service で Google マネージド証明書をデプロイする(チュートリアル)
- グローバルセルフマネージド証明書をデプロイする(チュートリアル)
- リージョン セルフマネージド証明書をデプロイする(チュートリアル)