Halaman ini menjelaskan langkah-langkah untuk memigrasikan satu atau beberapa sertifikat ke Pengelola Sertifikat. Contoh ini mencakup skenario berikut:
- Memigrasikan sertifikat pihak ketiga ke Certificate Manager.
- Migrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat. Untuk mengetahui informasi selengkapnya tentang sertifikat Cloud Load Balancing, lihat Ringkasan sertifikat SSL dalam dokumentasi Cloud Load Balancing.
Kedua skenario tidak mengalami periode nonaktif selama tidak ada error yang terjadi selama konfigurasi.
Untuk informasi selengkapnya tentang entity Certificate Manager yang disebutkan di halaman ini, lihat Cara kerja Certificate Manager.
Memigrasikan sertifikat pihak ketiga ke Pengelola Sertifikat
Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat yang disajikan oleh layanan pihak ketiga ke Pengelola Sertifikat.
Sebelum memulai, Anda harus memilih dan menyiapkan load balancer yang didukung. Pengelola Sertifikat memungkinkan Anda memperoleh dan mengelola sertifikat Transport Layer Security (TLS) untuk digunakan dengan resource load balancer berikut:
Proxy HTTPS target yang digunakan oleh Load Balancer Aplikasi:
Proxy SSL target yang digunakan oleh Load Balancer Jaringan proxy:
- Load Balancer Jaringan proxy eksternal global
- Load Balancer Jaringan proxy klasik
Selesaikan langkah-langkah berikut untuk setiap sertifikat yang ingin dimigrasikan:
Deploy sertifikat target dengan otorisasi DNS seperti yang dijelaskan dalam Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial) hingga tetapi tidak menyertakan langkah-langkah pembersihan. Gunakan satu peta sertifikat untuk semua sertifikat yang akan Anda migrasikan ke load balancer.
Untuk setiap sertifikat yang telah Anda deploy pada langkah sebelumnya, uji konektivitas ke setiap domain yang dicakup oleh sertifikat tersebut di alamat IP load balancer menggunakan perintah berikut:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Ganti kode berikut:
DOMAIN_NAME
: nama domain targetIP_ADDRESS
: Alamat IP load balancer Anda
Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL
Alihkan traffic dari layanan pihak ketiga ke Cloud Load Balancing dengan menyelesaikan langkah-langkah dalam Memperbarui data DNS A dan AAAA agar mengarah ke alamat IP load balancer.
Memigrasikan sertifikat Cloud Load Balancing ke Pengelola Sertifikat
Bagian ini menjelaskan cara memigrasikan satu atau beberapa sertifikat Cloud Load Balancing ke Certificate Manager.
Identifikasi sertifikat yang akan dimigrasikan
Selesaikan langkah-langkah berikut untuk mengidentifikasi sertifikat yang ingin dimigrasikan:
Pada load balancer target, identifikasi nama proxy target.
Identifikasi sertifikat yang ingin Anda migrasikan menggunakan perintah berikut untuk mendapatkan informasi tentang proxy target, termasuk sertifikat yang terlampir:
gcloud compute target-https-proxies describe TARGET_PROXY_NAME
Ganti
TARGET_PROXY_NAME
dengan nama proxy target.Outputnya mirip dengan hal berikut ini:
creationTimestamp: '2021-10-06T04:05:07.520-07:00' fingerprint: c9Txdx6AfcM= id: '365692570234384780' kind: compute#targetHttpsProxy name: my-proxy selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy sslCertificates: - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
Untuk informasi selengkapnya, lihat Mendapatkan informasi tentang proxy target.
Membuat sertifikat di Certificate Manager
Buat sertifikat yang dipilih di Certificate Manager sebagai berikut:
- Untuk setiap sertifikat yang dikelola sendiri, selesaikan langkah-langkah dalam Mengupload sertifikat yang dikelola sendiri.
- Untuk setiap sertifikat yang dikelola Google, sebaiknya buat sertifikat dengan otorisasi DNS dengan menyelesaikan langkah-langkah dalam artikel Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial) hingga tetapi tidak menyertakan langkah "Deploy sertifikat ke load balancer". Anda akan menyelesaikan langkah ini nanti dalam panduan ini.
Sebelum melanjutkan ke langkah berikutnya, tunggu hingga setiap status sertifikat berubah menjadi ACTIVE
seperti yang dijelaskan dalam
Memverifikasi bahwa sertifikat aktif.
Diperlukan waktu beberapa jam untuk menerbitkan setiap sertifikat dan statusnya berubah menjadi ACTIVE
.
Membuat peta sertifikat
Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat peta sertifikat dengan menyelesaikan langkah-langkah di bagian Membuat peta sertifikat.
Anda tidak memerlukan peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.
Membuat entri peta sertifikat
Untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal global atau Load Balancer Aplikasi klasik, buat entri peta sertifikat. Anda tidak memerlukan entri peta sertifikat untuk men-deploy sertifikat ke Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional.
Untuk setiap sertifikat yang ingin dimigrasikan, buat entri peta sertifikat dengan merujuk sertifikat tersebut seperti berikut:
Dapatkan detail sertifikat menggunakan perintah berikut:
gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
Ganti
CERTIFICATE_NAME
dengan nama sertifikat target.Outputnya mirip dengan hal berikut ini:
-----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE----- creationTimestamp: '2021-05-06T04:39:21.736-07:00' expireTime: '2022-06-07T01:10:34.000-07:00' id: '6422259403966690822' kind: compute#sslCertificate managed: domainStatus: a.my-domain1.example.com: ACTIVE b.my-domain2.example.com: ACTIVE domains: - a.my-domain1.example.com - b.my-domain2.example.com status: ACTIVE name: my-certificate selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate subjectAlternativeNames: - a. my-domain1.example.com - b. my-domain2.example.com type: MANAGED
Untuk setiap domain yang tercantum di kolom
subjectAlternativeNames
, buat entri peta sertifikat yang mencakup domain tersebut dengan menyelesaikan langkah-langkah di Membuat entri peta sertifikat. Jika lebih dari satu sertifikat mencakup satu domain, Anda hanya perlu membuat satu entri peta sertifikat dan menggunakan sertifikat valid yang mencakup domain tersebut.Opsional: Buat entri peta sertifikat utama yang mereferensikan sertifikat yang sesuai dengan sertifikat pertama dari daftar sertifikat yang awalnya dilampirkan ke proxy seperti yang dijelaskan dalam Membuat entri peta sertifikat utama.
Gunakan perintah berikut untuk memverifikasi bahwa setiap entri peta sertifikat yang Anda buat aktif:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Ganti kode berikut:
CERTIFICATE_MAP_ENTRY_NAME
: nama entri peta sertifikat targetCERTIFICATE_MAP_NAME
: nama peta sertifikat tempat entri peta sertifikat ini dilampirkan
Outputnya mirip dengan hal berikut ini:
createTime: '2021-09-06T10:01:56.229472109Z' name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Opsional: Uji konfigurasi Anda pada load balancer baru
Untuk meminimalkan periode nonaktif, sebaiknya uji peta sertifikat yang baru dikonfigurasi pada load balancer baru yang tidak menyalurkan traffic produksi. Dengan begitu, Anda dapat mendeteksi dan mengatasi error sebelum melanjutkan migrasi di lingkungan produksi.
Uji konfigurasi Anda sebagai berikut:
Buat load balancer baru dengan proxy target baru, seperti yang dijelaskan dalam Menyiapkan Load Balancer Aplikasi eksternal.
Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat yang ingin diuji ke proxy target load balancer baru seperti yang dijelaskan dalam artikel Melampirkan peta sertifikat ke proxy target.
Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.
Untuk setiap domain target yang disertakan dalam migrasi Anda, uji konektivitas ke domain di alamat IP load balancer baru menggunakan perintah berikut:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Ganti kode berikut:
DOMAIN_NAME
: nama domain targetIP_ADDRESS
: alamat IP load balancer baru Anda
Untuk informasi selengkapnya tentang pengujian konektivitas, lihat Menguji dengan OpenSSL
Membersihkan lingkungan pengujian
Bersihkan lingkungan pengujian yang Anda buat pada langkah sebelumnya sebagai berikut:
Lepaskan peta sertifikat dari proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Ganti
PROXY_NAME
dengan nama proxy target.Hapus load balancer pengujian seperti yang dijelaskan dalam Menghapus load balancer.
Jangan hapus sertifikat, peta sertifikat, atau entri peta sertifikat yang Anda buat di langkah sebelumnya.
Menerapkan peta sertifikat baru ke load balancer target
Setelah menguji konfigurasi sertifikat baru dan memastikan bahwa konfigurasi tersebut valid, terapkan peta sertifikat baru ke load balancer target seperti berikut.
Jika Anda menggunakan Load Balancer Aplikasi eksternal, lampirkan peta sertifikat baru ke proxy target yang sesuai seperti yang dijelaskan dalam Melampirkan peta sertifikat ke proxy target.
Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, lampirkan sertifikat ke proxy target seperti yang dijelaskan Men-deploy sertifikat yang dikelola sendiri regional.
Tunggu hingga perubahan konfigurasi diterapkan dan load balancer mulai menyajikan sertifikat baru. Proses ini biasanya memerlukan waktu beberapa menit, tetapi dapat berlangsung hingga 30 menit.
Jika Anda melihat masalah dengan traffic, lepaskan peta sertifikat baru dari proxy target dengan menyelesaikan langkah-langkah dalam Melepaskan peta sertifikat dari proxy. Tindakan ini akan mengembalikan load balancer ke konfigurasi aslinya. Jika tidak, konfigurasi baru Anda kini sudah selesai.
Jika Anda menggunakan Load Balancer Aplikasi eksternal regional atau Load Balancer Aplikasi internal regional, kembalikan perubahan dengan melampirkan sertifikat klasik yang dilampirkan sebelumnya.
Langkah selanjutnya
- Men-deploy sertifikat yang dikelola Google dengan otorisasi DNS (tutorial)
- Men-deploy sertifikat yang dikelola Google dengan otorisasi load balancer (tutorial)
- Men-deploy sertifikat yang dikelola Google dengan CA Service (tutorial)
- Men-deploy sertifikat global yang dikelola sendiri (tutorial)
- Men-deploy sertifikat (tutorial) regional yang dikelola sendiri (Pratinjau)