Migrer des certificats vers le gestionnaire de certificats

Cette page décrit la procédure de migration d'un ou de plusieurs certificats vers le gestionnaire de certificats. Il aborde les scénarios suivants:

Migrez des certificats tiers vers le gestionnaire de certificats.
Migrez des certificats Cloud Load Balancing vers le gestionnaire de certificats. Pour en savoir plus sur les certificats Cloud Load Balancing, consultez la page Présentation des certificats SSL dans la documentation Cloud Load Balancing.

Ces deux scénarios n'entraînent aucun temps d'arrêt tant qu'aucune erreur ne se produit pendant la configuration.

Pour en savoir plus sur les entités du gestionnaire de certificats mentionnées sur cette page, consultez la page Fonctionnement du gestionnaire de certificats.

Migrer des certificats tiers vers le gestionnaire de certificats

Cette section explique comment migrer un ou plusieurs certificats diffusés par un service tiers vers le gestionnaire de certificats.

Avant de commencer, vous devez sélectionner et configurer un équilibreur de charge compatible. Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes:

Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
- Équilibreur de charge d'application externe global
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional (bêta)
- Équilibreur de charge d'application interne régional (Bêta)
- Équilibreur de charge d'application interne interrégional (preview)
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique

Procédez comme suit pour chaque certificat que vous souhaitez migrer:

Déployez le certificat cible avec l'autorisation DNS, comme décrit dans la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel) jusqu'à non les étapes de nettoyage. Utilisez un seul mappage de certificat pour tous les certificats que vous migrez vers votre équilibreur de charge.
Pour chaque certificat que vous avez déployé à l'étape précédente, testez la connectivité à chaque domaine couvert par le certificat sur l'adresse IP de votre équilibreur de charge à l'aide de la commande suivante:
```
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
```
Remplacez les éléments suivants :
- DOMAIN_NAME: nom du domaine cible
- IP_ADDRESS: adresse IP de votre équilibreur de charge.
Pour en savoir plus sur le test de connectivité, consultez la page Tester avec OpenSSL.
Basculez le trafic de votre service tiers vers Cloud Load Balancing en suivant la procédure décrite dans la section Mettre à jour les enregistrements DNS A et AAAA pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge.

Migrer des certificats Cloud Load Balancing vers le gestionnaire de certificats

Cette section explique comment migrer un ou plusieurs certificats Cloud Load Balancing vers le gestionnaire de certificats.

Identifier les certificats à migrer

Pour identifier les certificats que vous souhaitez migrer, procédez comme suit:

Sur l'équilibreur de charge cible, identifiez le nom du proxy cible.

Identifiez les certificats que vous souhaitez migrer à l'aide de la commande suivante pour obtenir des informations sur le proxy cible, y compris les certificats associés:

gcloud compute target-https-proxies describe TARGET_PROXY_NAME

Remplacez TARGET_PROXY_NAME par le nom du proxy cible.

Le résultat ressemble à ce qui suit :

creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

Pour en savoir plus, consultez la section Obtenir des informations sur un proxy cible.

Créer les certificats dans le gestionnaire de certificats

Créez les certificats sélectionnés dans le gestionnaire de certificats comme suit:

Pour chaque certificat autogéré, suivez la procédure décrite dans Importer un certificat autogéré.
Pour chaque certificat géré par Google, nous vous recommandons de créer un certificat avec une autorisation DNS en suivant les étapes de la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel), jusqu'à l'étape "Déployer le certificat sur un équilibreur de charge", mais non. Vous effectuerez cette étape ultérieurement dans ce guide.

Avant de passer à l'étape suivante, attendez que l'état de chaque certificat soit défini sur ACTIVE, comme décrit dans la section Vérifier que le certificat est actif. L'émission de chaque certificat peut prendre plusieurs heures et son état passe à ACTIVE.

Créer le mappage de certificat

Pour déployer le certificat sur un équilibreur de charge d'application externe global ou classique, créez un mappage de certificat en suivant la procédure décrite dans Créer un mappage de certificats.

Vous n'avez pas besoin d'un mappage de certificat pour déployer le certificat sur un équilibreur de charge d'application externe régional ou interne régional.

Créer les entrées de mappage de certificats

Pour déployer le certificat sur un équilibreur de charge d'application externe global ou classique, créez une entrée de mappage de certificat. Vous n'avez pas besoin d'une entrée de mappage de certificat pour déployer un certificat sur un équilibreur de charge d'application externe régional ou interne régional.

Pour chaque certificat que vous souhaitez migrer, créez des entrées de mappage de certificats faisant référence à ces certificats comme suit:

Obtenez les détails du certificat à l'aide de la commande suivante:

gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

Remplacez CERTIFICATE_NAME par le nom du certificat cible.

Le résultat ressemble à ce qui suit :

   -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

Pour chaque domaine répertorié dans le champ subjectAlternativeNames, créez une entrée de mappage de certificats couvrant ce domaine en suivant la procédure décrite dans la section Créer une entrée de mappage de certificats. Si plusieurs certificats couvrent un seul domaine, il vous suffit de créer une entrée de mappage de certificat et d'utiliser un certificat valide couvrant ce domaine.
Facultatif: Créez une entrée de mappage de certificat principal faisant référence au certificat qui correspond au premier certificat de la liste des certificats initialement rattachés au proxy, comme décrit dans la section Créer une entrée de mappage de certificat principal.
Utilisez la commande suivante pour vérifier que chaque entrée de mappage de certificat que vous avez créée est active:
```
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"
```
Remplacez les éléments suivants :
- CERTIFICATE_MAP_ENTRY_NAME: nom de l'entrée de mappage de certificats cible
- CERTIFICATE_MAP_NAME: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée
Le résultat ressemble à ce qui suit :
```
   createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'
```

Facultatif: Tester votre configuration sur un nouvel équilibreur de charge

Pour réduire les temps d'arrêt, nous vous recommandons de tester les mappages de certificats que vous venez de configurer sur un nouvel équilibreur de charge qui ne diffuse pas le trafic de production. Vous pouvez ainsi détecter et résoudre les éventuelles erreurs avant de poursuivre la migration dans votre environnement de production.

Pour tester votre configuration, procédez comme suit:

Créez un équilibreur de charge avec un nouveau proxy cible, comme décrit dans Configurer un équilibreur de charge d'application externe.
Si vous utilisez un équilibreur de charge d'application externe, associez le mappage de certificat que vous souhaitez tester au proxy cible du nouvel équilibreur de charge, comme décrit dans la section Associer le mappage de certificat au proxy cible.

Si vous utilisez un équilibreur de charge d'application externe régional ou interne, associez le certificat au proxy cible, comme indiqué dans l'article Déployer un certificat autogéré régional.
Pour chaque domaine cible inclus dans votre migration, testez la connectivité au domaine sur l'adresse IP du nouvel équilibreur de charge à l'aide de la commande suivante:
```
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
```
Remplacez les éléments suivants :
- DOMAIN_NAME: nom du domaine cible
- IP_ADDRESS: adresse IP de votre nouvel équilibreur de charge
Pour en savoir plus sur le test de connectivité, consultez la page Tester avec OpenSSL.

Nettoyer l'environnement de test

Pour nettoyer l'environnement de test que vous avez créé aux étapes précédentes, procédez comme suit:

Dissociez le mappage de certificat du proxy:
```
gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map
```
Remplacez PROXY_NAME par le nom du proxy cible.
Supprimez l'équilibreur de charge de test, comme décrit dans Supprimer l'équilibreur de charge.

Ne supprimez pas les certificats, les mappages de certificats ou les entrées de mappage de certificats que vous avez créés aux étapes précédentes.

Appliquer le nouveau mappage de certificat à l'équilibreur de charge cible

Après avoir testé votre nouvelle configuration de certificat et vérifié sa validité, appliquez le nouveau mappage de certificat à l'équilibreur de charge cible comme suit.

Si vous utilisez un équilibreur de charge d'application externe, associez le nouveau mappage de certificat au proxy cible approprié, comme indiqué dans Associer le mappage de certificat au proxy cible.

Si vous utilisez un équilibreur de charge d'application externe régional ou interne, associez le certificat au proxy cible, comme indiqué dans l'article Déployer un certificat autogéré régional.
Attendez que la modification de la configuration ait été appliquée et que l'équilibreur de charge ait commencé à diffuser le nouveau certificat. Cette opération prend généralement quelques minutes, mais peut durer jusqu'à 30 minutes.
Si vous remarquez des problèmes au niveau de votre trafic, dissociez le nouveau mappage de certificat du proxy cible en suivant la procédure décrite dans la section Dissocier un mappage de certificat d'un proxy. Votre équilibreur de charge retrouve sa configuration d'origine. Sinon, votre nouvelle configuration est maintenant terminée.

Si vous utilisez un équilibreur de charge d'application externe régional ou interne, annulez la modification en joignant les certificats classiques précédemment associés.