Esegui la migrazione dei certificati in Gestore certificati

In questa pagina vengono descritti i passaggi per eseguire la migrazione di uno o più certificati a Gestore certificati. Vengono trattati i seguenti scenari:

  • Esegui la migrazione dei certificati di terze parti a Gestore certificati.
  • Esegui la migrazione dei certificati di Cloud Load Balancing a Gestore certificati. Per ulteriori informazioni sui certificati di Cloud Load Balancing, consulta la panoramica dei certificati SSL nella documentazione di Cloud Load Balancing.

Entrambi gli scenari non comportano tempi di inattività se non si verificano errori durante la configurazione.

Per maggiori informazioni sulle entità di Gestore certificati menzionate in questa pagina, consulta Come funziona Gestore certificati.

Esegui la migrazione dei certificati di terze parti a Gestore certificati

Questa sezione descrive come eseguire la migrazione a Gestore certificati di uno o più certificati forniti da un servizio di terze parti.

Prima di iniziare, devi selezionare e configurare un bilanciatore del carico supportato. Gestore certificati consente di acquisire e gestire i certificati TLS (Transport Layer Security) da utilizzare con le seguenti risorse del bilanciatore del carico:

  • Proxy HTTPS di destinazione utilizzati dagli Application Load Balancer:

    • Bilanciatore del carico delle applicazioni esterno globale
    • Bilanciatore del carico delle applicazioni classico
    • Bilanciatore del carico delle applicazioni esterno regionale (anteprima)
    • Bilanciatore del carico delle applicazioni interno regionale (anteprima)
    • Bilanciatore del carico delle applicazioni interno tra regioni (anteprima)

  • Proxy SSL di destinazione utilizzati dai bilanciatori del carico di rete proxy:

    • Bilanciatore del carico di rete proxy esterno globale
    • Bilanciatore del carico di rete proxy classico

Completa i seguenti passaggi per ogni certificato di cui vuoi eseguire la migrazione:

  1. Esegui il deployment del certificato di destinazione con l'autorizzazione DNS come descritto in Esegui il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial) fino fino ai passaggi di pulizia, senza inclusi. Utilizza un'unica mappa di certificati per tutti i certificati di cui esegui la migrazione al bilanciatore del carico.

  2. Per ogni certificato di cui hai eseguito il deployment nel passaggio precedente, verifica la connettività a ciascun dominio coperto dal certificato sull'indirizzo IP del bilanciatore del carico utilizzando questo comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Sostituisci quanto segue:

    • DOMAIN_NAME: il nome del dominio di destinazione
    • IP_ADDRESS: l'indirizzo IP del bilanciatore del carico

    Per ulteriori informazioni sul test della connettività, consulta la pagina Test con OpenSSL

  3. Passa il traffico dal servizio di terze parti a Cloud Load Balancing completando i passaggi descritti in Aggiornare i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico.

Esegui la migrazione dei certificati di Cloud Load Balancing a Gestore certificati

Questa sezione descrive come eseguire la migrazione di uno o più certificati di Cloud Load Balancing a Gestore certificati.

Identifica i certificati di cui eseguire la migrazione

Completa i seguenti passaggi per identificare i certificati di cui vuoi eseguire la migrazione:

  1. Nel bilanciatore del carico di destinazione, identifica il nome del proxy di destinazione.

  2. Identifica i certificati di cui vuoi eseguire la migrazione utilizzando il comando seguente per ottenere informazioni sul proxy di destinazione, inclusi i certificati collegati:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Sostituisci TARGET_PROXY_NAME con il nome del proxy di destinazione.

    L'output è simile al seguente:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Per saperne di più, vedi Ottenere informazioni su un proxy di destinazione.

Crea i certificati in Gestore certificati

Crea i certificati selezionati in Gestore certificati nel seguente modo:

Prima di andare al passaggio successivo, attendi che lo stato di ogni certificato diventi ACTIVE, come descritto in Verificare che il certificato sia attivo. L'emissione di ogni certificato e lo stato del certificato in ACTIVE possono richiedere diverse ore.

Crea la mappa di certificati

Per eseguire il deployment del certificato in un Application Load Balancer esterno globale o in un Application Load Balancer classico, crea una mappa di certificati completando i passaggi descritti in Creare una mappa di certificati.

Non è necessaria una mappa di certificati per eseguire il deployment del certificato in un Application Load Balancer esterno regionale o in un Application Load Balancer interno regionale.

Crea le voci della mappa di certificati

Per eseguire il deployment del certificato in un bilanciatore del carico delle applicazioni esterno globale o in un bilanciatore del carico delle applicazioni classico, crea una voce della mappa dei certificati. Non è necessaria una voce della mappa dei certificati per eseguire il deployment di un certificato in un bilanciatore del carico delle applicazioni esterno regionale o in un Application Load Balancer interno regionale.

Per ogni certificato di cui vuoi eseguire la migrazione, crea voci di mappa di certificati facendo riferimento a questi certificati come segue:

  1. Ottieni i dettagli del certificato utilizzando il seguente comando:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

    L'output è simile al seguente:

       -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

  2. Per ogni dominio elencato nel campo subjectAlternativeNames, crea una voce della mappa di certificati che copra il dominio completando i passaggi descritti in Creare una voce della mappa di certificati. Se più certificati coprono un singolo dominio, devi creare una sola voce della mappa di certificati e utilizzare qualsiasi certificato valido che copra quel dominio.

  3. (Facoltativo) Crea una voce della mappa dei certificati principali che faccia riferimento al certificato corrispondente al primo certificato dell'elenco dei certificati originariamente collegati al proxy, come descritto in Creare una voce della mappa di certificati principali.

  4. Utilizza il seguente comando per verificare che ogni voce della mappa di certificati che hai creato sia attiva:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati di destinazione
    • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è allegata la voce della mappa di certificati

    L'output è simile al seguente:

       createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

(Facoltativo) Testa la configurazione su un nuovo bilanciatore del carico

Per ridurre al minimo i tempi di inattività, ti consigliamo di testare le mappe di certificati appena configurate su un nuovo bilanciatore del carico che non gestisce il traffico di produzione. Ciò consente di rilevare e risolvere eventuali errori prima di procedere con la migrazione nell'ambiente di produzione.

Testa la configurazione come segue:

  1. Crea un nuovo bilanciatore del carico con un nuovo proxy di destinazione, come descritto in Configurare un bilanciatore del carico delle applicazioni esterno.

  2. Se utilizzi un bilanciatore del carico delle applicazioni esterno, collega la mappa di certificati da verificare al proxy di destinazione del nuovo bilanciatore del carico, come descritto in Collegare la mappa di certificati al proxy di destinazione.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un Application Load Balancer interno regionale, collega il certificato al proxy di destinazione come descritto in Esegui il deployment di un certificato autogestito a livello di regione.

  3. Per ogni dominio di destinazione incluso nella migrazione, verifica la connettività al dominio sull'indirizzo IP del nuovo bilanciatore del carico utilizzando il seguente comando:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Sostituisci quanto segue:

    • DOMAIN_NAME: il nome del dominio di destinazione
    • IP_ADDRESS: l'indirizzo IP del nuovo bilanciatore del carico

    Per ulteriori informazioni sul test della connettività, consulta la pagina Test con OpenSSL

Pulisci l'ambiente di test

Esegui la pulizia dell'ambiente di test che hai creato nei passaggi precedenti come segue:

  1. Scollega la mappa di certificati dal proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

  2. Elimina il bilanciatore del carico di prova come descritto in Eliminare il bilanciatore del carico.

Non eliminare i certificati, le mappe di certificati o le voci della mappa di certificati che hai creato nei passaggi precedenti.

Applica la nuova mappa di certificati al bilanciatore del carico di destinazione

Dopo aver testato la configurazione del nuovo certificato e verificato che sia valida, applica la nuova mappa di certificati al bilanciatore del carico di destinazione nel seguente modo.

  1. Se utilizzi un bilanciatore del carico delle applicazioni esterno, collega la nuova mappa di certificati al proxy di destinazione appropriato, come descritto in Collegare la mappa di certificati al proxy di destinazione.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un Application Load Balancer interno regionale, collega il certificato al proxy di destinazione come descritto in Esegui il deployment di un certificato autogestito a livello di regione.

  2. Attendi che la modifica alla configurazione sia stata applicata e che il bilanciatore del carico non inizi a gestire il nuovo certificato. In genere questa operazione richiede pochi minuti, ma potrebbero essere necessari fino a 30 minuti.

  3. Se riscontri problemi di traffico, scollega la nuova mappa di certificati dal proxy di destinazione completando i passaggi descritti in Scollegare una mappa di certificati da un proxy. Questa operazione ripristina la configurazione originale del bilanciatore del carico. In caso contrario, la nuova configurazione è ora completa.

    Se utilizzi un bilanciatore del carico delle applicazioni esterno regionale o un bilanciatore del carico delle applicazioni interno regionale, ripristina la modifica collegando i certificati classici collegati in precedenza.

Passaggi successivi