Migrar certificados para o Gerenciador de certificados

Nesta página, descrevemos as etapas para migrar um ou mais certificados para o Gerenciador de certificados. Ele abrange os seguintes cenários:

• Migre certificados de terceiros para o Gerenciador de certificados.
• Migre os certificados do Cloud Load Balancing para o Gerenciador de certificados. Para mais informações sobre os certificados do Cloud Load Balancing, consulte Visão geral dos certificados SSL na documentação do Cloud Load Balancing.

Os dois cenários não causam inatividade, desde que não ocorram erros durante a configuração.

Para mais informações sobre as entidades do Gerenciador de certificados mencionadas nesta página, consulte Como o Gerenciador de certificados funciona.

Migrar certificados de terceiros para o Gerenciador de certificados

Nesta seção, descrevemos como migrar um ou mais certificados veiculados por um serviço de terceiros para o Gerenciador de certificados.

Antes de começar, selecione e configure um balanceador de carga compatível. O Gerenciador de certificados permite adquirir e gerenciar certificados do Transport Layer Security (TLS) para uso com os seguintes recursos do balanceador de carga:

• Proxies HTTPS de destino usados pelos balanceadores de carga de aplicativo:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de aplicativo clássico
  • Balanceador de carga de aplicativo externo regional (pré-lançamento)
  • Balanceador de carga de aplicativo interno regional (pré-lançamento)
  • Balanceador de carga de aplicativo interno entre regiões (pré-lançamento)

• Proxies SSL de destino usados pelos balanceadores de carga de rede de proxy:

  • Balanceador de carga de rede de proxy externo global
  • Balanceador de carga de rede de proxy clássico

Siga estas etapas para cada certificado que você quer migrar:

1. Implante o certificado de destino com autorização de DNS conforme descrito em Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial) até, mas sem incluir as etapas de limpeza. Use um único mapa para todos os certificados que você estiver migrando para o balanceador de carga.

2. Para cada certificado implantado na etapa anterior, teste a conectividade com cada domínio coberto pelo certificado no endereço IP do balanceador de carga usando o seguinte comando:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Substitua:

   • DOMAIN_NAME: o nome do domínio de destino.
   • IP_ADDRESS: o endereço IP do balanceador de carga.

   Para saber mais sobre como testar a conectividade, consulte Testar com o OpenSSL.

3. Migre o tráfego do serviço de terceiros para o Cloud Load Balancing concluindo as etapas em Atualizar os registros DNS A e AAAA para apontar para o endereço IP do balanceador de carga.

Migrar os certificados do Cloud Load Balancing para o Gerenciador de certificados

Nesta seção, descrevemos como migrar um ou mais certificados do Cloud Load Balancing para o Gerenciador de certificados.

Identificar os certificados que serão migrados

Siga estas etapas para identificar os certificados que você quer migrar:

1. No balanceador de carga de destino, identifique o nome do proxy de destino.

2. Identifique os certificados que você quer migrar usando o comando a seguir para receber informações sobre o proxy de destino, incluindo os certificados anexados:

   gcloud compute target-https-proxies describe TARGET_PROXY_NAME
   

   Substitua TARGET_PROXY_NAME pelo nome do proxy de destino.

   O resultado será assim:

   creationTimestamp: '2021-10-06T04:05:07.520-07:00'
   fingerprint: c9Txdx6AfcM=
   id: '365692570234384780'
   kind: compute#targetHttpsProxy
   name: my-proxy
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
   sslCertificates:
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
   - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
   urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
   

   Para mais informações, consulte Como conseguir informações sobre um proxy de destino.

criar os certificados no Gerenciador de certificados;

Crie os certificados selecionados no Gerenciador de certificados da seguinte maneira:

• Para cada certificado autogerenciado, conclua as etapas em Fazer upload de um certificado autogerenciado.
• Para cada certificado gerenciado pelo Google, recomendamos criar o certificado com uma autorização de DNS concluindo as etapas em Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial) até, mas não incluir a etapa "Implantar o certificado em um balanceador de carga". Você vai concluir essa etapa mais adiante neste guia.

Antes de passar para a próxima etapa, aguarde até que o estado de cada certificado mude para ACTIVE, conforme descrito em Verificar se o certificado está ativo. Pode levar várias horas para que cada certificado seja emitido e o estado mude para ACTIVE.

Criar o mapa de certificado

Para implantar o certificado em um balanceador de carga de aplicativo externo global ou em um balanceador de carga de aplicativo clássico, siga as etapas em Criar um mapa de certificado para criar um mapa de certificado.

Você não precisa de um mapa de certificado para implantá-lo em um balanceador de carga de aplicativo externo regional ou em um balanceador interno regional.

Criar as entradas do mapa de certificado

Para implantar o certificado em um balanceador de carga de aplicativo externo global ou em um balanceador de carga de aplicativo clássico, crie uma entrada de mapa de certificado. Você não precisa de uma entrada do mapa de certificado para implantar um certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo regional interno.

Para cada certificado que você quer migrar, crie entradas de mapa de certificado fazendo referência a esses certificados da seguinte maneira:

1. Consiga os detalhes do certificado usando o seguinte comando:

   gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
   

   Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

   O resultado será assim:

      -----BEGIN CERTIFICATE-----
      MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
      MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
      CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
      OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
      GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
      MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
      ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
      iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
      KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
      DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
      j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
      cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
      CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
      iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
      Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
      sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
      9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
      BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
      BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
      JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
      MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
      oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
      MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
      AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
      NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
      WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
      9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
      +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
      d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
      -----END CERTIFICATE-----
      creationTimestamp: '2021-05-06T04:39:21.736-07:00'
      expireTime: '2022-06-07T01:10:34.000-07:00'
      id: '6422259403966690822'
      kind: compute#sslCertificate
      managed:
         domainStatus:
         a.my-domain1.example.com: ACTIVE
         b.my-domain2.example.com: ACTIVE
         domains:
         - a.my-domain1.example.com
         - b.my-domain2.example.com
         status: ACTIVE
      name: my-certificate
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
      subjectAlternativeNames:
      - a. my-domain1.example.com
      - b. my-domain2.example.com
      type: MANAGED
   

2. Para cada domínio listado no campo subjectAlternativeNames, crie uma entrada de mapa de certificado que abranja esse domínio concluindo as etapas em Criar uma entrada de mapa de certificado. Se mais de um certificado abrange um único domínio, você só precisa criar uma entrada de mapa de certificado e usar qualquer certificado válido que abranja esse domínio.

3. Opcional: crie uma entrada do mapa de certificado principal que faça referência ao certificado que corresponde ao primeiro da lista de certificados originalmente anexados ao proxy, conforme descrito em Criar uma entrada de mapa de certificado principal.

4. Use o comando a seguir para verificar se cada entrada de mapa de certificado criada está ativa:

   gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
      --map="CERTIFICATE_MAP_NAME"
   

   Substitua:

   • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa do certificado de destino
   • CERTIFICATE_MAP_NAME: o nome do mapa do certificado ao qual esta entrada de mapa de certificado se anexa.

   O resultado será assim:

      createTime: '2021-09-06T10:01:56.229472109Z'
      name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
      state: ACTIVE
      updateTime: '2021-09-06T10:01:58.277031787Z'
   

Opcional: testar a configuração em um novo balanceador de carga

Para minimizar o tempo de inatividade, recomendamos que você teste os mapas de certificado recém-configurados em um novo balanceador de carga que não esteja exibindo o tráfego de produção. Isso permite detectar e resolver qualquer erro antes de prosseguir com a migração no ambiente de produção.

Teste a configuração da seguinte maneira:

1. Crie um balanceador de carga com um novo proxy de destino, conforme descrito em Como configurar um balanceador de carga de aplicativo externo.

2. Se você estiver usando um balanceador de carga de aplicativo externo, anexe o mapa de certificado que você quer testar ao proxy de destino do novo balanceador de carga, conforme descrito em Anexar o mapa de certificado ao proxy de destino.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, anexe o certificado ao proxy de destino conforme descrito em Implantar um certificado autogerenciado regional.

3. Para cada domínio de destino incluído na migração, teste a conectividade com o domínio no endereço IP do novo balanceador de carga usando o seguinte comando:

   openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
   

   Substitua:

   • DOMAIN_NAME: o nome do domínio de destino.
   • IP_ADDRESS: o endereço IP do novo balanceador de carga.

   Para saber mais sobre como testar a conectividade, consulte Testar com o OpenSSL.

Limpar o ambiente de teste

Limpe o ambiente de teste que você criou nas etapas anteriores da seguinte maneira:

1. Desanexe o mapa de certificado do proxy:

   gcloud compute target-https-proxies update PROXY_NAME \
      --clear-certificate-map
   

   Substitua PROXY_NAME pelo nome do proxy de destino.

2. Exclua o balanceador de carga de teste conforme descrito em Como excluir o balanceador de carga.

Não exclua os certificados ou as entradas de mapa de certificado ou de certificado que você criou nas etapas anteriores.

Aplicar o novo mapa de certificado ao balanceador de carga de destino

Depois de testar a nova configuração de certificado e confirmar que ela é válida, aplique o novo mapa de certificados ao balanceador de carga de destino da seguinte maneira.

1. Se você estiver usando um balanceador de carga de aplicativo externo, anexe o novo mapa de certificado ao proxy de destino apropriado, conforme descrito em Anexar o mapa de certificado ao proxy de destino.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, anexe o certificado ao proxy de destino conforme descrito em Implantar um certificado autogerenciado regional.

2. Aguarde até que a alteração na configuração seja aplicada e o balanceador de carga comece a exibir o novo certificado. Esse processo geralmente leva alguns minutos, mas pode demorar até 30 minutos.

3. Se você perceber problemas com o tráfego, desanexe o novo mapa de certificado do proxy de destino concluindo as etapas em Remover um mapa de certificado de um proxy. Isso reverte o balanceador de carga para a configuração original. Caso contrário, a nova configuração estará concluída.

   Se você estiver usando um balanceador de carga de aplicativo externo regional ou um balanceador de carga de aplicativo interno regional, reverta a alteração anexando os certificados clássicos anexados anteriormente.

A seguir

• Implantar um certificado gerenciado pelo Google com autorização de DNS (tutorial)
• Implantar um certificado gerenciado pelo Google com autorização do balanceador de carga (tutorial)
• Implantar um certificado gerenciado pelo Google com o serviço de CA (tutorial)
• Implantar um certificado autogerenciado global (tutorial)
• Implantar um certificado autogerenciado regional (tutorial) (Prévia)