Esegui la migrazione dei certificati a Gestore certificati

In questa pagina vengono descritti i passaggi per eseguire la migrazione di uno o più certificati a Gestore certificati. Copre i seguenti scenari:

  • Esegui la migrazione dei certificati di terze parti a Certificate Manager.
  • Esegui la migrazione dei certificati di Cloud Load Balancing a Gestore certificati. Per maggiori informazioni informazioni sui certificati di Cloud Load Balancing, consulta la panoramica dei certificati SSL nella documentazione di Cloud Load Balancing.

Entrambi gli scenari non comportano tempi di riposo, a condizione che non si verifichino errori durante la configurazione.

Per ulteriori informazioni sulle entità Gestore certificati menzionate in questa pagina, consulta Come funziona Gestore certificati.

Eseguire la migrazione dei certificati di terze parti a Gestore certificati

Questa sezione descrive come eseguire la migrazione di uno o più certificati forniti da un servizio di terze parti a Gestore certificati.

Prima di iniziare, devi selezionare e configurare un bilanciatore del carico supportato. Gestore certificati consente di acquisire e gestire il Transport Layer Certificati di sicurezza (TLS) da utilizzare con le seguenti risorse del bilanciatore del carico:

  • Proxy HTTPS di destinazione utilizzati dai bilanciatori del carico delle applicazioni:

    • Bilanciatore del carico delle applicazioni esterno globale
    • Bilanciatore del carico delle applicazioni classico
    • Bilanciatore del carico delle applicazioni esterno regionale
    • Bilanciatore del carico delle applicazioni interno regionale
    • Bilanciatore del carico delle applicazioni interno tra regioni

  • Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:

    • Bilanciatore del carico di rete proxy esterno globale
    • Bilanciatore del carico di rete proxy classico

Completa i seguenti passaggi per ogni certificato di cui vuoi eseguire la migrazione:

  1. Esegui il deployment del certificato di destinazione con autorizzazione DNS come descritto in Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial), fino ai passaggi di pulizia, ma senza includerli. Utilizza un'unica mappa di certificati per tutti i certificati di cui esegui la migrazione al bilanciatore del carico.

  2. Per ogni certificato di cui hai eseguito il deployment nel passaggio precedente, testa la connettività a ciascun dominio coperto dal certificato sull'indirizzo IP del bilanciatore del carico utilizzando il seguente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Sostituisci quanto segue:

    • DOMAIN_NAME: il nome del dominio di destinazione
    • IP_ADDRESS: l'indirizzo IP del bilanciatore del carico

    Per ulteriori informazioni sul test della connettività, vedi Eseguire test con OpenSSL

  3. Per trasferire il traffico dal servizio di terze parti a Cloud Load Balancing, completa i passaggi riportati di seguito in Aggiornare i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico.

Esegui la migrazione dei certificati Cloud Load Balancing a Certificate Manager

Questa sezione descrive come eseguire la migrazione di uno o più certificati Cloud Load Balancing in Gestore certificati.

Identifica i certificati di cui eseguire la migrazione

Completa i seguenti passaggi per identificare i certificati di cui vuoi eseguire la migrazione:

  1. Sul bilanciatore del carico di destinazione, identifica il nome del proxy di destinazione.

  2. Identifica i certificati di cui vuoi eseguire la migrazione utilizzando il comando seguente per ottenere informazioni sul proxy di destinazione, inclusi i certificati allegati:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Sostituisci TARGET_PROXY_NAME con il nome del proxy di destinazione.

    L'output è simile al seguente:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Per ulteriori informazioni, consulta Ottenere informazioni su un proxy di destinazione.

Crea i certificati in Gestore certificati

Crea i certificati selezionati in Gestore certificati come segue:

Prima di passare al passaggio successivo, attendi che lo stato di ogni certificato sia impostato su ACTIVE come descritto in Verificare che il certificato sia attivo. Possono essere necessarie diverse ore prima che ciascun certificato venga emesso e il relativo stato passi a ACTIVE.

Crea la mappa di certificati

Per eseguire il deployment del certificato in un bilanciatore del carico delle applicazioni esterno globale o in un bilanciatore del carico delle applicazioni classico, crea una mappa dei certificati completando i passaggi descritti in Creare una mappa dei certificati.

Non è necessaria una mappa dei certificati per eseguire il deployment del certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.

Crea le voci della mappa di certificati

Per eseguire il deployment del certificato su un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico, crea una voce della mappa di certificati. Non è necessaria una voce della mappa dei certificati per eseguire il deployment di un certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.

Crea voci della mappa di certificati per ogni certificato di cui vuoi eseguire la migrazione facendo riferimento a tali certificati come segue:

  1. Ottieni i dettagli del certificato utilizzando il seguente comando:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

    L'output è simile al seguente:

       -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

  2. Per ogni dominio elencato nel campo subjectAlternativeNames, crea una voce della mappa dei certificati che lo copra completando i passaggi descritti in Creare una voce della mappa dei certificati. Se più di un certificato copre un singolo dominio, devi creare una sola voce della mappa di certificati e utilizzare qualsiasi relativo al dominio.

  3. (Facoltativo) Crea una voce della mappa di certificati principale che faccia riferimento al certificato corrispondente alla prima certificato dall'elenco dei certificati originariamente collegati al proxy come descritto in Creare una voce della mappa di certificati principale.

  4. Utilizza il seguente comando per verificare che ogni voce della mappa di certificati che hai creato sia attiva:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome del target voce mappa di certificati
    • CERTIFICATE_MAP_NAME: il nome del certificato mappa a cui questa voce di mappa di certificati si collega

    L'output è simile al seguente:

       createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

(Facoltativo) Testa la configurazione su un nuovo bilanciatore del carico

Per ridurre al minimo i tempi di inattività, ti consigliamo di testare le mappe di certificati appena configurate su un nuovo bilanciatore del carico che non gestisce traffico di produzione. In questo modo puoi rilevare e risolvere eventuali errori prima la migrazione nell'ambiente di produzione.

Testa la configurazione nel seguente modo:

  1. Crea un nuovo bilanciatore del carico con un nuovo proxy di destinazione, come descritto in Configurare un bilanciatore del carico delle applicazioni esterno.

  2. Se utilizzi un bilanciatore del carico delle applicazioni esterno, collega la mappa di certificati che vuoi testare al proxy di destinazione del nuovo bilanciatore del carico come descritto in Collega la mappa di certificati al proxy di destinazione.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, collega il certificato al proxy di destinazione come descritto Eseguire il deployment di un certificato autogestito a livello di regione.

  3. Per ogni dominio di destinazione incluso nella migrazione, verifica la connettività al dominio sull'indirizzo IP del nuovo bilanciatore del carico utilizzando il seguente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Sostituisci quanto segue:

    • DOMAIN_NAME: il nome del dominio di destinazione
    • IP_ADDRESS: l'indirizzo IP del nuovo bilanciatore del carico

    Per ulteriori informazioni sul test della connettività, consulta Eseguire test con OpenSSL

Pulisci l'ambiente di test

Ripulisci l'ambiente di test creato nei passaggi precedenti come segue:

  1. Scollega la mappa di certificati dal proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

  2. Elimina il bilanciatore del carico di test come descritto in Eliminare il bilanciatore del carico.

Non eliminare le voci dei certificati, della mappa di certificati o della mappa di certificati che hai creato nei passaggi precedenti.

Applica la nuova mappa di certificati al bilanciatore del carico di destinazione

Dopo aver testato la nuova configurazione del certificato e confermato che è valida, applica la nuova mappa di certificati al bilanciatore del carico di destinazione come segue.

  1. Se utilizzi un bilanciatore del carico delle applicazioni esterno, allega la nuova mappa dei certificati al proxy di destinazione appropriato come descritto in Allega la mappa dei certificati al proxy di destinazione.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, collega il certificato al proxy di destinazione come descritto Eseguire il deployment di un certificato autogestito a livello di regione.

  2. Attendi fino a quando la modifica alla configurazione non è stata applicata e il bilanciatore del carico ha iniziato a gestire il nuovo certificato. Di solito ci vogliono pochi minuti, ma possono essere necessari fino a 30 minuti.

  3. Se noti problemi con il traffico, scollega la nuova mappa dei certificati dal proxy di destinazione completando i passaggi descritti in Scollegare una mappa dei certificati da un proxy. Questa operazione ripristina del bilanciatore del carico alla configurazione originale. In caso contrario, la nuova configurazione è completa.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, ripristina la modifica allegando i certificati classici allegati in precedenza.

Passaggi successivi