Memigrasi sertifikat ke Certificate Manager

Halaman ini menjelaskan langkah-langkah untuk memigrasikan satu atau beberapa sertifikat ke Pengelola Sertifikat. Contoh ini mencakup skenario berikut:

• Memigrasikan sertifikat pihak ketiga ke Certificate Manager.
• Migrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat. Untuk mengetahui informasi selengkapnya tentang sertifikat Cloud Load Balancing, lihat Ringkasan sertifikat SSL dalam dokumentasi Cloud Load Balancing.

Kedua skenario tidak mengalami periode nonaktif selama tidak ada error yang terjadi selama konfigurasi.

Untuk informasi selengkapnya tentang entity Certificate Manager yang disebutkan di halaman ini, lihat Cara kerja Certificate Manager.

Memigrasikan sertifikat pihak ketiga ke Pengelola Sertifikat

Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat yang disajikan oleh layanan pihak ketiga ke Pengelola Sertifikat.

Sebelum memulai, Anda harus memilih dan menyiapkan load balancer yang didukung. Pengelola Sertifikat memungkinkan Anda memperoleh dan mengelola sertifikat Transport Layer Security (TLS) untuk digunakan dengan resource load balancer berikut:

• Proxy HTTPS target yang digunakan oleh Load Balancer Aplikasi:

  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi Klasik
  • Load Balancer Aplikasi eksternal regional (Pratinjau)
  • Load Balancer Aplikasi internal regional (Pratinjau)
  • Load Balancer Aplikasi internal lintas region (Pratinjau)

• Proxy SSL target yang digunakan oleh Load Balancer Jaringan proxy:

  • Load Balancer Jaringan proxy eksternal global
  • Load Balancer Jaringan proxy klasik

Selesaikan langkah-langkah berikut untuk setiap sertifikat yang ingin dimigrasikan:

1. Deploy sertifikat target dengan otorisasi DNS seperti yang dijelaskan dalam Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial) hingga tetapi tidak menyertakan langkah-langkah pembersihan. Gunakan satu peta sertifikat untuk semua sertifikat yang akan Anda migrasikan ke load balancer.

2. Untuk setiap sertifikat yang telah Anda deploy pada langkah sebelumnya, uji konektivitas ke setiap domain yang dicakup oleh sertifikat tersebut di alamat IP load balancer menggunakan perintah berikut:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Ganti kode berikut:

   • DOMAIN_NAME: nama domain target
   • IP_ADDRESS: Alamat IP load balancer Anda

   Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL

3. Alihkan traffic dari layanan pihak ketiga ke Cloud Load Balancing dengan menyelesaikan langkah-langkah dalam Memperbarui data DNS A dan AAAA agar mengarah ke alamat IP load balancer.

Memigrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat

Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat Cloud Load Balancing ke Certificate Manager.

Identifikasi sertifikat yang akan dimigrasikan

Selesaikan langkah-langkah berikut untuk mengidentifikasi sertifikat yang ingin dimigrasikan:

1. Pada load balancer target, identifikasi nama proxy target.

2. Identifikasi sertifikat yang ingin Anda migrasikan menggunakan perintah berikut untuk mendapatkan informasi tentang proxy target, termasuk sertifikat yang terlampir:

   gcloud compute target-https-proxies describe TARGET_PROXY_NAME
   

   Ganti TARGET_PROXY_NAME dengan nama proxy target.

   Outputnya mirip dengan hal berikut ini:

   creationTimestamp: '2021-10-06T04:05:07.520-07:00'
   fingerprint: c9Txdx6AfcM=
   id: '365692570234384780'
   kind: compute#targetHttpsProxy
   name: my-proxy
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
   sslCertificates:
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
   urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
   

   Untuk informasi selengkapnya, lihat Mendapatkan informasi tentang proxy target.

Membuat sertifikat di Certificate Manager

Buat sertifikat yang dipilih di Certificate Manager sebagai berikut:

• Untuk setiap sertifikat yang dikelola sendiri, selesaikan langkah-langkah dalam Mengupload sertifikat yang dikelola sendiri.
• Untuk setiap sertifikat yang dikelola Google, sebaiknya buat sertifikat dengan otorisasi DNS dengan menyelesaikan langkah-langkah dalam artikel Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial) hingga tetapi tidak menyertakan langkah "Deploy sertifikat ke load balancer". Anda akan menyelesaikan langkah ini nanti dalam panduan ini.

Sebelum melanjutkan ke langkah berikutnya, tunggu hingga setiap status sertifikat berubah menjadi ACTIVE seperti yang dijelaskan dalam Memverifikasi bahwa sertifikat aktif. Diperlukan waktu beberapa jam untuk menerbitkan setiap sertifikat dan statusnya berubah menjadi ACTIVE.

Membuat peta sertifikat

Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat peta sertifikat dengan menyelesaikan langkah-langkah di bagian Membuat peta sertifikat.

Anda tidak memerlukan peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.

Membuat entri peta sertifikat

Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat entri peta sertifikat. Anda tidak memerlukan entri peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.

Untuk setiap sertifikat yang ingin dimigrasikan, buat entri peta sertifikat dengan merujuk sertifikat tersebut seperti berikut:

1. Dapatkan detail sertifikat menggunakan perintah berikut:

   gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
   

   Ganti CERTIFICATE_NAME dengan nama sertifikat target.

   Outputnya mirip dengan hal berikut ini:

      -----BEGIN CERTIFICATE-----
      MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
      MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
      CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
      OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
      GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
      MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
      ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
      iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
      KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
      DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
      j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
      cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
      CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
      iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
      Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
      sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
      9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
      BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
      JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
      MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
      oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
      MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
      AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
      NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
      WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
      9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
      +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
      d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
      -----END CERTIFICATE-----
      creationTimestamp: '2021-05-06T04:39:21.736-07:00'
      expireTime: '2022-06-07T01:10:34.000-07:00'
      id: '6422259403966690822'
      kind: compute#sslCertificate
      managed:
         domainStatus:
         a.my-domain1.example.com: ACTIVE
         b.my-domain2.example.com: ACTIVE
         domains:
         - a.my-domain1.example.com
         - b.my-domain2.example.com
         status: ACTIVE
      name: my-certificate
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
      subjectAlternativeNames:
      - a. my-domain1.example.com
      - b. my-domain2.example.com
      type: MANAGED
   

2. Untuk setiap domain yang tercantum di kolom subjectAlternativeNames, buat entri peta sertifikat yang mencakup domain tersebut dengan menyelesaikan langkah-langkah di Membuat entri peta sertifikat. Jika lebih dari satu sertifikat mencakup satu domain, Anda hanya perlu membuat satu entri peta sertifikat dan menggunakan sertifikat valid yang mencakup domain tersebut.

3. Opsional: Buat entri peta sertifikat utama yang mereferensikan sertifikat yang sesuai dengan sertifikat pertama dari daftar sertifikat yang awalnya dilampirkan ke proxy seperti yang dijelaskan dalam Membuat entri peta sertifikat utama.

4. Gunakan perintah berikut untuk memverifikasi bahwa setiap entri peta sertifikat yang Anda buat aktif:

   gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
      --map="CERTIFICATE_MAP_NAME"
   

   Ganti kode berikut:

   • CERTIFICATE_MAP_ENTRY_NAME: nama entri peta sertifikat target
   • CERTIFICATE_MAP_NAME: nama peta sertifikat tempat entri peta sertifikat ini dilampirkan

   Outputnya mirip dengan hal berikut ini:

      createTime: '2021-09-06T10:01:56.229472109Z'
      name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
      state: ACTIVE
      updateTime: '2021-09-06T10:01:58.277031787Z'
   

Opsional: Uji konfigurasi Anda pada load balancer baru

Untuk meminimalkan periode nonaktif, sebaiknya uji peta sertifikat yang baru dikonfigurasi pada load balancer baru yang tidak menyalurkan traffic produksi. Dengan begitu, Anda dapat mendeteksi dan mengatasi error sebelum melanjutkan migrasi di lingkungan produksi.

Uji konfigurasi Anda sebagai berikut:

1. Buat load balancer baru dengan proxy target baru, seperti yang dijelaskan dalam Menyiapkan Load Balancer Aplikasi eksternal.

2. Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat yang ingin diuji ke proxy target load balancer baru seperti yang dijelaskan dalam artikel Melampirkan peta sertifikat ke proxy target.

   Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.

3. Untuk setiap domain target yang disertakan dalam migrasi Anda, uji konektivitas ke domain di alamat IP load balancer baru menggunakan perintah berikut:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Ganti kode berikut:

   • DOMAIN_NAME: nama domain target
   • IP_ADDRESS: alamat IP load balancer baru Anda

   Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL

Membersihkan lingkungan pengujian

Bersihkan lingkungan pengujian yang Anda buat pada langkah sebelumnya sebagai berikut:

1. Lepaskan peta sertifikat dari proxy:

   gcloud compute target-https-proxies update PROXY_NAME \
      --clear-certificate-map
   

   Ganti PROXY_NAME dengan nama proxy target.

2. Hapus load balancer pengujian seperti yang dijelaskan dalam Menghapus load balancer.

Jangan hapus sertifikat, peta sertifikat, atau entri peta sertifikat yang Anda buat di langkah sebelumnya.

Menerapkan peta sertifikat baru ke load balancer target

Setelah menguji konfigurasi sertifikat baru dan memastikan bahwa konfigurasi tersebut valid, terapkan peta sertifikat baru ke load balancer target seperti berikut.

1. Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat baru ke proxy target yang sesuai seperti yang dijelaskan dalam Melampirkan peta sertifikat ke proxy target.

   Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.

2. Tunggu hingga perubahan konfigurasi diterapkan dan load balancer mulai menyajikan sertifikat baru. Proses ini biasanya memerlukan waktu beberapa menit, tetapi dapat berlangsung hingga 30 menit.

3. Jika Anda melihat masalah dengan traffic, lepaskan peta sertifikat baru dari proxy target dengan menyelesaikan langkah-langkah dalam Melepaskan peta sertifikat dari proxy. Tindakan ini akan mengembalikan load balancer ke konfigurasi aslinya. Jika tidak, konfigurasi baru Anda kini sudah selesai.

   Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, kembalikan perubahan dengan melampirkan sertifikat klasik yang dilampirkan sebelumnya.

Langkah selanjutnya

• Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial)
• Men-deploy sertifikat yang dikelola Google dengan otorisasi load balancer (tutorial)
• Men-deploy sertifikat yang dikelola Google dengan CA Service (tutorial)
• Men-deploy sertifikat global yang dikelola sendiri (tutorial)
• Men-deploy sertifikat (tutorial) regional yang dikelola sendiri (Pratinjau)