Cette page décrit la procédure de migration d'un ou de plusieurs certificats vers le gestionnaire de certificats. Il aborde les scénarios suivants:
- Migrez des certificats tiers vers le gestionnaire de certificats.
- Migrez des certificats Cloud Load Balancing vers le gestionnaire de certificats. Pour en savoir plus sur les certificats Cloud Load Balancing, consultez la page Présentation des certificats SSL dans la documentation Cloud Load Balancing.
Ces deux scénarios n'entraînent aucun temps d'arrêt tant qu'aucune erreur ne se produit pendant la configuration.
Pour en savoir plus sur les entités du gestionnaire de certificats mentionnées sur cette page, consultez la page Fonctionnement du gestionnaire de certificats.
Migrer des certificats tiers vers le gestionnaire de certificats
Cette section explique comment migrer un ou plusieurs certificats diffusés par un service tiers vers le gestionnaire de certificats.
Avant de commencer, vous devez sélectionner et configurer un équilibreur de charge compatible. Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes:
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application:
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy:
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Procédez comme suit pour chaque certificat que vous souhaitez migrer:
Déployez le certificat cible avec l'autorisation DNS, comme décrit dans la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel) jusqu'à non les étapes de nettoyage. Utilisez un seul mappage de certificat pour tous les certificats que vous migrez vers votre équilibreur de charge.
Pour chaque certificat que vous avez déployé à l'étape précédente, testez la connectivité à chaque domaine couvert par le certificat sur l'adresse IP de votre équilibreur de charge à l'aide de la commande suivante:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Remplacez les éléments suivants :
DOMAIN_NAME
: nom du domaine cibleIP_ADDRESS
: adresse IP de votre équilibreur de charge.
Pour en savoir plus sur le test de connectivité, consultez la page Tester avec OpenSSL.
Basculez le trafic de votre service tiers vers Cloud Load Balancing en suivant la procédure décrite dans la section Mettre à jour les enregistrements DNS A et AAAA pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge.
Migrer des certificats Cloud Load Balancing vers le gestionnaire de certificats
Cette section explique comment migrer un ou plusieurs certificats Cloud Load Balancing vers le gestionnaire de certificats.
Identifier les certificats à migrer
Pour identifier les certificats que vous souhaitez migrer, procédez comme suit:
Sur l'équilibreur de charge cible, identifiez le nom du proxy cible.
Identifiez les certificats que vous souhaitez migrer à l'aide de la commande suivante pour obtenir des informations sur le proxy cible, y compris les certificats associés:
gcloud compute target-https-proxies describe TARGET_PROXY_NAME
Remplacez
TARGET_PROXY_NAME
par le nom du proxy cible.Le résultat ressemble à ce qui suit :
creationTimestamp: '2021-10-06T04:05:07.520-07:00' fingerprint: c9Txdx6AfcM= id: '365692570234384780' kind: compute#targetHttpsProxy name: my-proxy selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy sslCertificates: - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
Pour en savoir plus, consultez la section Obtenir des informations sur un proxy cible.
Créer les certificats dans le gestionnaire de certificats
Créez les certificats sélectionnés dans le gestionnaire de certificats comme suit:
- Pour chaque certificat autogéré, suivez la procédure décrite dans Importer un certificat autogéré.
- Pour chaque certificat géré par Google, nous vous recommandons de créer un certificat avec une autorisation DNS en suivant les étapes de la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel), jusqu'à l'étape "Déployer le certificat sur un équilibreur de charge", mais non. Vous effectuerez cette étape ultérieurement dans ce guide.
Avant de passer à l'étape suivante, attendez que l'état de chaque certificat soit défini sur ACTIVE
, comme décrit dans la section Vérifier que le certificat est actif.
L'émission de chaque certificat peut prendre plusieurs heures et son état passe à ACTIVE
.
Créer le mappage de certificat
Pour déployer le certificat sur un équilibreur de charge d'application externe global ou classique, créez un mappage de certificat en suivant la procédure décrite dans Créer un mappage de certificats.
Vous n'avez pas besoin d'un mappage de certificat pour déployer le certificat sur un équilibreur de charge d'application externe régional ou interne régional.
Créer les entrées de mappage de certificats
Pour déployer le certificat sur un équilibreur de charge d'application externe global ou classique, créez une entrée de mappage de certificat. Vous n'avez pas besoin d'une entrée de mappage de certificat pour déployer un certificat sur un équilibreur de charge d'application externe régional ou interne régional.
Pour chaque certificat que vous souhaitez migrer, créez des entrées de mappage de certificats faisant référence à ces certificats comme suit:
Obtenez les détails du certificat à l'aide de la commande suivante:
gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
Remplacez
CERTIFICATE_NAME
par le nom du certificat cible.Le résultat ressemble à ce qui suit :
-----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE----- creationTimestamp: '2021-05-06T04:39:21.736-07:00' expireTime: '2022-06-07T01:10:34.000-07:00' id: '6422259403966690822' kind: compute#sslCertificate managed: domainStatus: a.my-domain1.example.com: ACTIVE b.my-domain2.example.com: ACTIVE domains: - a.my-domain1.example.com - b.my-domain2.example.com status: ACTIVE name: my-certificate selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate subjectAlternativeNames: - a. my-domain1.example.com - b. my-domain2.example.com type: MANAGED
Pour chaque domaine répertorié dans le champ
subjectAlternativeNames
, créez une entrée de mappage de certificats couvrant ce domaine en suivant la procédure décrite dans la section Créer une entrée de mappage de certificats. Si plusieurs certificats couvrent un seul domaine, il vous suffit de créer une entrée de mappage de certificat et d'utiliser un certificat valide couvrant ce domaine.Facultatif: Créez une entrée de mappage de certificat principal faisant référence au certificat qui correspond au premier certificat de la liste des certificats initialement rattachés au proxy, comme décrit dans la section Créer une entrée de mappage de certificat principal.
Utilisez la commande suivante pour vérifier que chaque entrée de mappage de certificat que vous avez créée est active:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de l'entrée de mappage de certificats cibleCERTIFICATE_MAP_NAME
: nom du mappage de certificat auquel l'entrée de mappage de certificat est associée
Le résultat ressemble à ce qui suit :
createTime: '2021-09-06T10:01:56.229472109Z' name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Facultatif: Tester votre configuration sur un nouvel équilibreur de charge
Pour réduire les temps d'arrêt, nous vous recommandons de tester les mappages de certificats que vous venez de configurer sur un nouvel équilibreur de charge qui ne diffuse pas le trafic de production. Vous pouvez ainsi détecter et résoudre les éventuelles erreurs avant de poursuivre la migration dans votre environnement de production.
Pour tester votre configuration, procédez comme suit:
Créez un équilibreur de charge avec un nouveau proxy cible, comme décrit dans Configurer un équilibreur de charge d'application externe.
Si vous utilisez un équilibreur de charge d'application externe, associez le mappage de certificat que vous souhaitez tester au proxy cible du nouvel équilibreur de charge, comme décrit dans la section Associer le mappage de certificat au proxy cible.
Si vous utilisez un équilibreur de charge d'application externe régional ou interne, associez le certificat au proxy cible, comme indiqué dans l'article Déployer un certificat autogéré régional.
Pour chaque domaine cible inclus dans votre migration, testez la connectivité au domaine sur l'adresse IP du nouvel équilibreur de charge à l'aide de la commande suivante:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Remplacez les éléments suivants :
DOMAIN_NAME
: nom du domaine cibleIP_ADDRESS
: adresse IP de votre nouvel équilibreur de charge
Pour en savoir plus sur le test de connectivité, consultez la page Tester avec OpenSSL.
Nettoyer l'environnement de test
Pour nettoyer l'environnement de test que vous avez créé aux étapes précédentes, procédez comme suit:
Dissociez le mappage de certificat du proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Remplacez
PROXY_NAME
par le nom du proxy cible.Supprimez l'équilibreur de charge de test, comme décrit dans Supprimer l'équilibreur de charge.
Ne supprimez pas les certificats, les mappages de certificats ou les entrées de mappage de certificats que vous avez créés aux étapes précédentes.
Appliquer le nouveau mappage de certificat à l'équilibreur de charge cible
Après avoir testé votre nouvelle configuration de certificat et vérifié sa validité, appliquez le nouveau mappage de certificat à l'équilibreur de charge cible comme suit.
Si vous utilisez un équilibreur de charge d'application externe, associez le nouveau mappage de certificat au proxy cible approprié, comme indiqué dans Associer le mappage de certificat au proxy cible.
Si vous utilisez un équilibreur de charge d'application externe régional ou interne, associez le certificat au proxy cible, comme indiqué dans l'article Déployer un certificat autogéré régional.
Attendez que la modification de la configuration ait été appliquée et que l'équilibreur de charge ait commencé à diffuser le nouveau certificat. Cette opération prend généralement quelques minutes, mais peut durer jusqu'à 30 minutes.
Si vous remarquez des problèmes au niveau de votre trafic, dissociez le nouveau mappage de certificat du proxy cible en suivant la procédure décrite dans la section Dissocier un mappage de certificat d'un proxy. Votre équilibreur de charge retrouve sa configuration d'origine. Sinon, votre nouvelle configuration est maintenant terminée.
Si vous utilisez un équilibreur de charge d'application externe régional ou interne, annulez la modification en joignant les certificats classiques précédemment associés.
Étapes suivantes
- Déployer un certificat géré par Google avec une autorisation DNS (tutoriel)
- Déployer un certificat géré par Google avec une autorisation d'équilibreur de charge (tutoriel)
- Déployer un certificat géré par Google avec CA Service (tutoriel)
- Déployer un certificat autogéré global (tutoriel)
- Déployer un certificat autogéré régional (tutoriel) (preview)