デプロイの概要

このページでは、Certificate Manager を使用して証明書をデプロイする手順について説明します。このページで説明する Certificate Manager エンティティの詳細については、Certificate Manager の仕組みをご覧ください。

Certificate Manager は、次の証明書タイプをサポートしています。

• Google マネージド証明書は、Google Cloud が取得して管理する証明書です。Certificate Manager では、次のタイプの Google マネージド証明書を作成できます。

  • グローバル証明書
    • ロードバランサの承認を使用した Google マネージド証明書
    • DNS 認証を使用した Google マネージド証明書
    • Certificate Authority Service（CA Service）を使用した Google マネージド証明書
  • リージョン証明書
    • リージョン Google マネージド証明書
    • Certificate Authority Service（CA Service）を使用したリージョン Google マネージド証明書

• セルフマネージド 証明書は、ご自分で取得、プロビジョニング、更新する証明書です。

次の表は、どの Google Cloud ロードバランサが Certificate Manager のセルフマネージド証明書または Google マネージド証明書、あるいはその両方をサポートしているかを示しています。

ロードバランサ	Google が管理する証明書			セルフマネージド証明書
	DNS 認証	ロードバランサの承認	Certificate Authority Service（CA Service）
グローバル外部アプリケーション ロードバランサ	info	info	info	info
従来のアプリケーション ロードバランサ	info	info	info	info
グローバルな外部プロキシ ネットワーク ロードバランサ	info	info	info	info
クロスリージョン内部アプリケーション ロードバランサ	info		info	info
リージョン外部アプリケーション ロードバランサ	info		info	info
リージョン内部アプリケーション ロードバランサ	info		info	info

証明書をグローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサにデプロイする

グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサに証明書をデプロイするには、次のいずれかの方法を使用します。

• （推奨）Google マネージド証明書をデプロイする。
• セルフマネージド証明書をデプロイする。

Google マネージド証明書をデプロイする

Google マネージド証明書を使用してグローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサに証明書をデプロイするには、次の手順を行います。

1. 次のいずれかの構成を使用して、Google マネージド証明書を作成します。
   • DNS 認証
   • CA Service によって発行されます。
   • ロードバランサの承認。
2. この証明書の証明書マップを構成します。
   1. CertificateMap を作成します。
   2. この証明書を必要とするホスト名の証明書マップエントリを追加します。
   3. 省略可: ロードバランサが、この証明書マップでリクエストされたホスト名に固有の証明書を見つけることができない場合に使用するプライマリ証明書の証明書マップエントリを追加します。
3. 証明書と対応する証明書マップエントリがアクティブであることを確認します。ロードバランサ認証で Google マネージド証明書を使用している場合、次の手順が完了し、証明書がプロビジョニングされた後にのみ、証明書がアクティブになります。
4. ロードバランサ構成でターゲット プロキシに証明書マップを添付します。

セルフマネージド証明書をデプロイする。

グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、またはグローバル外部プロキシ ネットワーク ロードバランサにセルフマネージド証明書をデプロイするには、次の手順を行います。

1. セルフマネージド証明書をアップロードする
2. この証明書の証明書マップを構成します。
   1. CertificateMap を作成します。
   2. この証明書を必要とするホスト名の証明書マップエントリを追加します。
   3. 省略可: ロードバランサが、この証明書マップでリクエストされたホスト名に固有の証明書を見つけることができない場合に使用するプライマリ証明書の証明書マップエントリを追加します。
3. 証明書と対応する証明書マップエントリがアクティブであることを確認します。ロードバランサ認証で Google マネージド証明書を使用している場合、次の手順が完了し、証明書がプロビジョニングされた後にのみ、証明書がアクティブになります。
4. ロードバランサ構成のターゲット プロキシに証明書マップを添付します。

クロスリージョンの内部アプリケーション ロードバランサに証明書をデプロイする

クロスリージョンの内部アプリケーション ロードバランサに証明書をデプロイするには、次のいずれかの方法を使用します。

• （推奨）Google マネージド証明書をデプロイします。
• セルフマネージド証明書をデプロイする。

Google マネージド証明書をデプロイする

Google マネージド証明書をクロスリージョンの内部アプリケーション ロードバランサにデプロイするには、次の手順を行います。

1. 次のいずれかの構成を使用して、Google マネージド証明書を作成します。
   • DNS 認証
   • CA Service によって発行されます。
2. 証明書をターゲット プロキシに直接添付します。

セルフマネージド証明書をデプロイする

セルフマネージド証明書をクロスリージョンの内部アプリケーション ロードバランサにデプロイするには、次の手順を行います。

1. セルフマネージド証明書をアップロードする
2. 証明書をターゲット プロキシに直接添付します。

セルフマネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにデプロイする

セルフマネージド証明書をリージョン外部アプリケーション ロードバランサ（プレビュー）またはリージョン内部アプリケーション ロードバランサ（プレビュー）にデプロイするには、次の手順を行います。

1. セルフマネージド証明書をアップロードする
2. ロードバランサ構成でターゲット プロキシに証明書を添付します。

既存の証明書を移行する

既存の証明書をロードバランサから Certificate Manager に移行する場合は、証明書を Certificate Manager に移行するの手順に従ってください。

相互 TLS 認証（mTLS）を使用する場合は、Cloud Load Balancing ドキュメントの相互 TLS 認証をご覧ください。

次のステップ

• DNS 認証を使用して Google マネージド証明書をデプロイする（チュートリアル）
• ロードバランサの承認で Google マネージド証明書をデプロイする（チュートリアル）
• CA Service で Google マネージド証明書をデプロイする（チュートリアル）
• グローバルセルフマネージド証明書をデプロイする（チュートリアル）
• リージョンのセルフマネージド証明書をデプロイする（チュートリアル）（プレビュー）