Memigrasi sertifikat ke Certificate Manager

Halaman ini menjelaskan langkah-langkah untuk memigrasikan satu atau beberapa sertifikat ke Pengelola Sertifikat. Contoh ini mencakup skenario berikut:

  • Memigrasikan sertifikat pihak ketiga ke Certificate Manager.
  • Migrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat. Untuk mengetahui informasi selengkapnya tentang sertifikat Cloud Load Balancing, lihat Ringkasan sertifikat SSL dalam dokumentasi Cloud Load Balancing.

Kedua skenario tidak mengalami periode nonaktif selama tidak ada error yang terjadi selama konfigurasi.

Untuk informasi selengkapnya tentang entity Certificate Manager yang disebutkan di halaman ini, lihat Cara kerja Certificate Manager.

Memigrasikan sertifikat pihak ketiga ke Pengelola Sertifikat

Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat yang disajikan oleh layanan pihak ketiga ke Pengelola Sertifikat.

Sebelum memulai, Anda harus memilih dan menyiapkan load balancer yang didukung. Pengelola Sertifikat memungkinkan Anda memperoleh dan mengelola sertifikat Transport Layer Security (TLS) untuk digunakan dengan resource load balancer berikut:

  • Proxy HTTPS target yang digunakan oleh Load Balancer Aplikasi:

    • Load Balancer Aplikasi eksternal global
    • Load Balancer Aplikasi Klasik
    • Load Balancer Aplikasi eksternal regional (Pratinjau)
    • Load Balancer Aplikasi internal regional (Pratinjau)
    • Load Balancer Aplikasi internal lintas region (Pratinjau)
  • Proxy SSL target yang digunakan oleh Load Balancer Jaringan proxy:

    • Load Balancer Jaringan proxy eksternal global
    • Load Balancer Jaringan proxy klasik

Selesaikan langkah-langkah berikut untuk setiap sertifikat yang ingin dimigrasikan:

  1. Deploy sertifikat target dengan otorisasi DNS seperti yang dijelaskan dalam Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial) hingga tetapi tidak menyertakan langkah-langkah pembersihan. Gunakan satu peta sertifikat untuk semua sertifikat yang akan Anda migrasikan ke load balancer.

  2. Untuk setiap sertifikat yang telah Anda deploy pada langkah sebelumnya, uji konektivitas ke setiap domain yang dicakup oleh sertifikat tersebut di alamat IP load balancer menggunakan perintah berikut:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
    

    Ganti kode berikut:

    • DOMAIN_NAME: nama domain target
    • IP_ADDRESS: Alamat IP load balancer Anda

    Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL

  3. Alihkan traffic dari layanan pihak ketiga ke Cloud Load Balancing dengan menyelesaikan langkah-langkah dalam Memperbarui data DNS A dan AAAA agar mengarah ke alamat IP load balancer.

Memigrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat

Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat Cloud Load Balancing ke Certificate Manager.

Identifikasi sertifikat yang akan dimigrasikan

Selesaikan langkah-langkah berikut untuk mengidentifikasi sertifikat yang ingin dimigrasikan:

  1. Pada load balancer target, identifikasi nama proxy target.

  2. Identifikasi sertifikat yang ingin Anda migrasikan menggunakan perintah berikut untuk mendapatkan informasi tentang proxy target, termasuk sertifikat yang terlampir:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME
    

    Ganti TARGET_PROXY_NAME dengan nama proxy target.

    Outputnya mirip dengan hal berikut ini:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
    fingerprint: c9Txdx6AfcM=
    id: '365692570234384780'
    kind: compute#targetHttpsProxy
    name: my-proxy
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
    sslCertificates:
    - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
    - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
    urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
    

    Untuk informasi selengkapnya, lihat Mendapatkan informasi tentang proxy target.

Membuat sertifikat di Certificate Manager

Buat sertifikat yang dipilih di Certificate Manager sebagai berikut:

Sebelum melanjutkan ke langkah berikutnya, tunggu hingga setiap status sertifikat berubah menjadi ACTIVE seperti yang dijelaskan dalam Memverifikasi bahwa sertifikat aktif. Diperlukan waktu beberapa jam untuk menerbitkan setiap sertifikat dan statusnya berubah menjadi ACTIVE.

Membuat peta sertifikat

Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat peta sertifikat dengan menyelesaikan langkah-langkah di bagian Membuat peta sertifikat.

Anda tidak memerlukan peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.

Membuat entri peta sertifikat

Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat entri peta sertifikat. Anda tidak memerlukan entri peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.

Untuk setiap sertifikat yang ingin dimigrasikan, buat entri peta sertifikat dengan merujuk sertifikat tersebut seperti berikut:

  1. Dapatkan detail sertifikat menggunakan perintah berikut:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
    

    Ganti CERTIFICATE_NAME dengan nama sertifikat target.

    Outputnya mirip dengan hal berikut ini:

       -----BEGIN CERTIFICATE-----
       MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
       MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
       CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
       OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
       GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
       MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
       ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
       iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
       KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
       DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
       j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
       cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
       CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
       iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
       Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
       sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
       9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
       BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
       BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
       JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
       MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
       oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
       MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
       AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
       NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
       WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
       9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
       +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
       d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
       -----END CERTIFICATE-----
       creationTimestamp: '2021-05-06T04:39:21.736-07:00'
       expireTime: '2022-06-07T01:10:34.000-07:00'
       id: '6422259403966690822'
       kind: compute#sslCertificate
       managed:
          domainStatus:
          a.my-domain1.example.com: ACTIVE
          b.my-domain2.example.com: ACTIVE
          domains:
          - a.my-domain1.example.com
          - b.my-domain2.example.com
          status: ACTIVE
       name: my-certificate
       selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
       subjectAlternativeNames:
       - a. my-domain1.example.com
       - b. my-domain2.example.com
       type: MANAGED
    
  2. Untuk setiap domain yang tercantum di kolom subjectAlternativeNames, buat entri peta sertifikat yang mencakup domain tersebut dengan menyelesaikan langkah-langkah di Membuat entri peta sertifikat. Jika lebih dari satu sertifikat mencakup satu domain, Anda hanya perlu membuat satu entri peta sertifikat dan menggunakan sertifikat valid yang mencakup domain tersebut.

  3. Opsional: Buat entri peta sertifikat utama yang mereferensikan sertifikat yang sesuai dengan sertifikat pertama dari daftar sertifikat yang awalnya dilampirkan ke proxy seperti yang dijelaskan dalam Membuat entri peta sertifikat utama.

  4. Gunakan perintah berikut untuk memverifikasi bahwa setiap entri peta sertifikat yang Anda buat aktif:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
       --map="CERTIFICATE_MAP_NAME"
    

    Ganti kode berikut:

    • CERTIFICATE_MAP_ENTRY_NAME: nama entri peta sertifikat target
    • CERTIFICATE_MAP_NAME: nama peta sertifikat tempat entri peta sertifikat ini dilampirkan

    Outputnya mirip dengan hal berikut ini:

       createTime: '2021-09-06T10:01:56.229472109Z'
       name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
       state: ACTIVE
       updateTime: '2021-09-06T10:01:58.277031787Z'
    

Opsional: Uji konfigurasi Anda pada load balancer baru

Untuk meminimalkan periode nonaktif, sebaiknya uji peta sertifikat yang baru dikonfigurasi pada load balancer baru yang tidak menyalurkan traffic produksi. Dengan begitu, Anda dapat mendeteksi dan mengatasi error sebelum melanjutkan migrasi di lingkungan produksi.

Uji konfigurasi Anda sebagai berikut:

  1. Buat load balancer baru dengan proxy target baru, seperti yang dijelaskan dalam Menyiapkan Load Balancer Aplikasi eksternal.

  2. Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat yang ingin diuji ke proxy target load balancer baru seperti yang dijelaskan dalam artikel Melampirkan peta sertifikat ke proxy target.

    Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.

  3. Untuk setiap domain target yang disertakan dalam migrasi Anda, uji konektivitas ke domain di alamat IP load balancer baru menggunakan perintah berikut:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
    

    Ganti kode berikut:

    • DOMAIN_NAME: nama domain target
    • IP_ADDRESS: alamat IP load balancer baru Anda

    Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL

Membersihkan lingkungan pengujian

Bersihkan lingkungan pengujian yang Anda buat pada langkah sebelumnya sebagai berikut:

  1. Lepaskan peta sertifikat dari proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
       --clear-certificate-map
    

    Ganti PROXY_NAME dengan nama proxy target.

  2. Hapus load balancer pengujian seperti yang dijelaskan dalam Menghapus load balancer.

Jangan hapus sertifikat, peta sertifikat, atau entri peta sertifikat yang Anda buat di langkah sebelumnya.

Menerapkan peta sertifikat baru ke load balancer target

Setelah menguji konfigurasi sertifikat baru dan memastikan bahwa konfigurasi tersebut valid, terapkan peta sertifikat baru ke load balancer target seperti berikut.

  1. Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat baru ke proxy target yang sesuai seperti yang dijelaskan dalam Melampirkan peta sertifikat ke proxy target.

    Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.

  2. Tunggu hingga perubahan konfigurasi diterapkan dan load balancer mulai menyajikan sertifikat baru. Proses ini biasanya memerlukan waktu beberapa menit, tetapi dapat berlangsung hingga 30 menit.

  3. Jika Anda melihat masalah dengan traffic, lepaskan peta sertifikat baru dari proxy target dengan menyelesaikan langkah-langkah dalam Melepaskan peta sertifikat dari proxy. Tindakan ini akan mengembalikan load balancer ke konfigurasi aslinya. Jika tidak, konfigurasi baru Anda kini sudah selesai.

    Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, kembalikan perubahan dengan melampirkan sertifikat klasik yang dilampirkan sebelumnya.

Langkah selanjutnya