Migrar certificados para o Gerenciador de certificados

Nesta página, descrevemos as etapas para migrar um ou mais certificados para o Gerenciador de certificados. Ele abrange os seguintes cenários:

• Migrar certificados de terceiros para o Gerenciador de certificados.
• Migrar certificados do Cloud Load Balancing para o Gerenciador de certificados. Para mais informações sobre certificados do Cloud Load Balancing, consulte Visão geral dos certificados SSL na documentação do Cloud Load Balancing.

Nenhum dos dois cenários gera inatividade, desde que não ocorram erros durante a configuração.

Para mais informações sobre as entidades do Gerenciador de certificados mencionadas nesta página, consulte Como o Gerenciador de certificados funciona

Migrar certificados de terceiros para o Gerenciador de certificados

Nesta seção, descrevemos como migrar um ou mais certificados veiculados. por um serviço de terceiros ao Gerenciador de certificados.

Antes de começar, selecione e configure um balanceador de carga compatível. O Gerenciador de certificados permite adquirir e gerenciar a camada de transporte Certificados de segurança (TLS) para uso com os seguintes recursos do balanceador de carga:

• Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de aplicativo clássico
  • Balanceador de carga de aplicativo externo regional
  • Balanceador de carga de aplicativo interno regional
  • Balanceador de carga de aplicativo interno entre regiões

• Proxy SSL de destino usado pelos balanceadores de carga de proxy de rede:

  • Balanceador de carga de rede de proxy externo global
  • Balanceador de carga de rede de proxy clássico

Siga estas etapas para cada certificado que você quer migrar:

1. Implante o certificado de destino com a autorização de DNS conforme descrito em Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial), mas não incluindo as etapas de limpeza. Use um único mapa para todos os certificados que você está migrando para o balanceador de carga.

2. Para cada certificado implantado na etapa anterior, teste a conectividade com cada domínio coberto pelo certificado no endereço IP do balanceador de carga usando o seguinte comando:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Substitua:

   • DOMAIN_NAME: o nome do domínio de destino
   • IP_ADDRESS: o endereço IP do balanceador de carga.

   Para mais informações sobre como testar a conectividade, consulte Testar com o OpenSSL.

3. Para transferir o tráfego do serviço de terceiros para o balanceamento de carga do Cloud, siga as etapas em Atualizar os registros DNS A e AAAA para apontar para o endereço IP do balanceador de carga.

Migrar certificados do Cloud Load Balancing para o Gerenciador de certificados

Esta seção descreve como migrar um ou mais certificados do Cloud Load Balancing para o Gerenciador de certificados.

Identificar os certificados que serão migrados

Siga estas etapas para identificar os certificados que você quer migrar:

1. No balanceador de carga de destino, identifique o nome do proxy de destino.

2. Identifique os certificados que você quer migrar usando o seguinte comando para receber informações informações sobre o proxy de destino, incluindo os certificados anexados:

   gcloud compute target-https-proxies describe TARGET_PROXY_NAME
   

   Substitua TARGET_PROXY_NAME pelo nome do proxy de destino.

   O resultado será assim:

   creationTimestamp: '2021-10-06T04:05:07.520-07:00'
   fingerprint: c9Txdx6AfcM=
   id: '365692570234384780'
   kind: compute#targetHttpsProxy
   name: my-proxy
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
   sslCertificates:
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
   urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
   

   Para mais informações, consulte Como receber informações sobre um proxy de destino.

Criar os certificados no Gerenciador de certificados

Crie os certificados selecionados no Gerenciador de certificados da seguinte forma:

• Para cada certificado autogerenciado, siga as etapas em Fazer upload de um certificado autogerenciado.
• Para cada certificado gerenciado pelo Google, recomendamos criar o certificado com uma autorização de DNS seguindo as etapas em Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial) até não incluir a etapa "Implantar o certificado em um balanceador de carga". Você concluirá essa etapa posteriormente neste guia.

Antes de prosseguir para a próxima etapa, aguarde até que o estado de cada certificado tenha mudado para ACTIVE, conforme descrito em Verifique se o certificado está ativo. A emissão de cada certificado e a mudança de estado para ACTIVE podem levar várias horas.

Criar o mapeamento de certificado

Para implantar o certificado em um balanceador de carga de aplicativo externo global ou em um balanceador de carga de aplicativo clássico, siga as etapas em Criar um mapa de certificado para criar um mapa de certificado.

Você não precisa de um mapa de certificado para implantar o certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo regional interno.

Criar as entradas do mapa de certificado

Para implantar o certificado em um balanceador de carga de aplicativo externo global ou clássico, crie uma entrada de mapa de certificados. Não é necessária uma entrada de mapa de certificado para implantar um certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional.

Para cada certificado que você quer migrar, crie entradas de mapa de certificados fazendo referência a esses certificados da seguinte maneira:

1. Confira os detalhes do certificado usando o seguinte comando:

   gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
   

   Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

   O resultado será assim:

      -----BEGIN CERTIFICATE-----
      MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
      MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
      CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
      OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
      GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
      MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
      ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
      iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
      KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
      DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
      j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
      cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
      CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
      iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
      Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
      sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
      9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
      BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
      JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
      MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
      oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
      MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
      AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
      NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
      WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
      9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
      +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
      d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
      -----END CERTIFICATE-----
      creationTimestamp: '2021-05-06T04:39:21.736-07:00'
      expireTime: '2022-06-07T01:10:34.000-07:00'
      id: '6422259403966690822'
      kind: compute#sslCertificate
      managed:
         domainStatus:
         a.my-domain1.example.com: ACTIVE
         b.my-domain2.example.com: ACTIVE
         domains:
         - a.my-domain1.example.com
         - b.my-domain2.example.com
         status: ACTIVE
      name: my-certificate
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
      subjectAlternativeNames:
      - a. my-domain1.example.com
      - b. my-domain2.example.com
      type: MANAGED
   

2. Para cada domínio listado no campo subjectAlternativeNames, crie uma entrada de mapa de certificado que abranja esse domínio seguindo as etapas em Criar uma entrada de mapa de certificado. Se mais de um certificado abranger um único domínio, você só precisará criar uma entrada de mapa de certificado e usar qualquer certificado válido que abranja esse domínio.

3. Opcional: crie uma entrada de mapa de certificado principal que faça referência ao certificado que corresponde ao primeiro da lista de certificados originalmente anexados ao proxy, conforme descrito em Criar uma entrada de mapa de certificado principal.

4. Use o comando a seguir para verificar se cada entrada do mapa de certificados que você criou está ativa:

   gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
      --map="CERTIFICATE_MAP_NAME"
   

   Substitua:

   • CERTIFICATE_MAP_ENTRY_NAME: o nome do destino. entrada do mapa de certificado
   • CERTIFICATE_MAP_NAME: o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada

   O resultado será assim:

      createTime: '2021-09-06T10:01:56.229472109Z'
      name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
      state: ACTIVE
      updateTime: '2021-09-06T10:01:58.277031787Z'
   

Opcional: testar a configuração em um novo balanceador de carga

Para minimizar o tempo de inatividade, recomendamos que você teste os mapas de certificados recém-configurados em um novo balanceador de carga. que não está veiculando tráfego de produção. Isso permite detectar e resolver erros antes prossiga com a migração em seu ambiente de produção.

Teste a configuração da seguinte maneira:

1. Crie um balanceador de carga com um novo proxy de destino, conforme descrito em Como configurar um balanceador de carga de aplicativo externo.

2. Se você estiver usando um balanceador de carga de aplicativo externo, anexe o mapa de certificados que você quer testar ao proxy de destino do novo balanceador de carga, conforme descrito em Anexar o mapa de certificados ao proxy de destino.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, anexe o certificado ao proxy de destino, conforme descrito em Implantar um certificado autogerenciado regional.

3. Para cada domínio de destino incluído na migração, teste a conectividade com o domínio no endereço IP do novo balanceador de carga usando o seguinte comando:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Substitua:

   • DOMAIN_NAME: o nome do domínio de destino.
   • IP_ADDRESS: o endereço IP do novo balanceador de carga.

   Para mais informações sobre como testar a conectividade, consulte Testar com o OpenSSL.

Limpar o ambiente de teste

Limpe o ambiente de teste criado nas etapas anteriores da seguinte maneira:

1. Desconecte o mapa de certificados do proxy:

   gcloud compute target-https-proxies update PROXY_NAME \
      --clear-certificate-map
   

   Substitua PROXY_NAME pelo nome do proxy de destino.

2. Exclua o balanceador de carga de teste conforme descrito em Como excluir o balanceador de carga.

Não exclua os certificados, o mapa de certificados ou as entradas do mapa de certificados que você criou nas etapas anteriores.

Aplique o novo mapa de certificado ao balanceador de carga de destino

Depois de testar a nova configuração do certificado e confirmar que ela é válida, aplique o novo mapeamento de certificado ao balanceador de carga de destino da seguinte maneira:

1. Se você estiver usando um balanceador de carga de aplicativo externo, anexe o novo mapa de certificado ao proxy de destino adequado, conforme descrito em Anexar o mapa de certificado ao proxy de destino.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, anexe o certificado ao proxy de destino conforme descrito em Implantar um certificado regional autogerenciado.

2. Aguarde até que a mudança de configuração seja aplicada e o balanceador de carga comece a oferecer o novo certificado. Isso geralmente leva alguns minutos, mas pode demorar até 30 minutos.

3. Se você perceber algum problema com o tráfego, desanexe o novo mapa de certificado do proxy de destino: seguindo as etapas em Remover um mapa de certificado de um proxy. Isso reverte o balanceador de carga para a configuração original. Caso contrário, a nova configuração foi concluída.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, reverta a mudança anexando os certificados clássicos anexados anteriormente.

A seguir

• Como implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
• Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
• Como implantar um certificado gerenciado pelo Google com o CA Service (tutorial)
• Implantar um certificado autogerenciado global (tutorial)
• Implantar um certificado autogerenciado regional (tutorial) (Pré-lançamento)