Zertifikate zum Zertifikatmanager migrieren

Auf dieser Seite werden die Schritte zum Migrieren eines oder mehrerer Zertifikate zum Zertifikatmanager beschrieben. Folgende Szenarien werden behandelt:

  • Drittanbieterzertifikate in den Zertifikatmanager migrieren
  • Migrieren Sie Cloud Load Balancing-Zertifikate zum Zertifikatmanager. Weitere Informationen Informationen zu Cloud Load Balancing-Zertifikaten finden Sie unter Übersicht über SSL-Zertifikate. in der Cloud Load Balancing-Dokumentation.

In beiden Fällen kommt es zu keiner Ausfallzeit, sofern während der Konfiguration keine Fehler auftreten.

Weitere Informationen zu den auf dieser Seite genannten Zertifikatmanager-Entitäten finden Sie unter Funktionsweise des Zertifikatmanagers.

Drittanbieterzertifikate zum Zertifikatmanager migrieren

In diesem Abschnitt wird beschrieben, wie Sie ein oder mehrere bereitgestellte Zertifikate migrieren von einem Drittanbieterdienst an den Zertifikatmanager übertragen.

Bevor Sie beginnen, müssen Sie einen unterstützten Load-Balancer auswählen und einrichten. Mit Certificate Manager können Sie TLS-Zertifikate (Transport Layer Security) für die Verwendung mit den folgenden Load Balancer-Ressourcen erwerben und verwalten:

  • Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:

    • Globaler externer Application Load Balancer
    • Klassischer Application Load Balancer
    • Regionaler externer Application Load Balancer
    • Regionaler interner Application Load Balancer
    • Regionsübergreifender interner Application Load Balancer

  • Ziel-SSL-Proxys, die von Proxy-Netzwerk-Load Balancern verwendet werden:

    • Globaler externer Proxy-Network Load Balancer
    • Klassischer Proxy-Network Load Balancer

Führen Sie für jedes Zertifikat, das Sie migrieren möchten, die folgenden Schritte aus:

  1. Implementieren Sie das Zielzertifikat mit DNS-Autorisierung wie in der Anleitung zum Bereitstellen eines von Google verwalteten Zertifikats mit DNS-Autorisierung beschrieben, ohne die Schritte zur Bereinigung. Verwenden Sie eine einzelne Zertifikatzuordnung für alle Zertifikate, die Sie zu Ihrem Load Balancer migrieren.

  2. Testen Sie für jedes Zertifikat, das Sie im vorherigen Schritt bereitgestellt haben, die Konnektivität zu allen vom Zertifikat abgedeckten Domains. an der IP-Adresse Ihres Load-Balancers mit dem folgenden Befehl:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME: der Name der Zieldomain
    • IP_ADDRESS: die IP-Adresse Ihres Load Balancers

    Weitere Informationen zum Testen der Verbindung finden Sie unter Test mit OpenSSL.

  3. Leiten Sie den Traffic von Ihrem Drittanbieterdienst zu Cloud Load Balancing weiter. Führen Sie dazu die Schritte unter DNS-A- und AAAA-Einträge aktualisieren, sodass sie auf die IP-Adresse des Load Balancers verweisen aus.

Cloud Load Balancing-Zertifikate zum Zertifikatmanager migrieren

In diesem Abschnitt wird beschrieben, wie Sie ein oder mehrere Cloud Load Balancing-Zertifikate zu Certificate Manager migrieren.

Zu migrierende Zertifikate identifizieren

Führen Sie die folgenden Schritte aus, um die Zertifikate zu identifizieren, die Sie migrieren möchten:

  1. Identifizieren Sie auf dem Ziel-Load-Balancer den Namen des Zielproxys.

  2. Ermitteln Sie die Zertifikate, die Sie migrieren möchten, mit dem folgenden Befehl, um Informationen abzurufen. über den Zielproxy, einschließlich der angehängten Zertifikate:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Ersetzen Sie TARGET_PROXY_NAME durch den Namen des Zielproxys.

    Die Ausgabe sieht in etwa so aus:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Weitere Informationen finden Sie unter Informationen zu einem Zielproxy abrufen.

Zertifikate im Zertifikatsmanager erstellen

Erstellen Sie die ausgewählten Zertifikate im Zertifikatmanager wie folgt:

Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der Status jedes Zertifikats zu ACTIVE geändert hat, wie unter Prüfen Sie, ob das Zertifikat aktiv ist. Es kann mehrere Stunden dauern, bis jedes Zertifikat ausgestellt wurde und der Status in ACTIVE geändert wurde.

Zertifikatszuordnung erstellen

Wenn Sie das Zertifikat für einen globalen externen oder klassischen Application Load Balancer bereitstellen möchten, erstellen Sie eine Zertifikatszuordnung. Führen Sie dazu die Schritte unter Zertifikatszuordnung erstellen aus.

Sie benötigen keine Zertifikatszuordnung, um das Zertifikat für einen regionalen externen oder internen Application Load Balancer bereitzustellen.

Zertifikatszuordnungseinträge erstellen

Wenn Sie das Zertifikat für einen globalen externen oder klassischen Application Load Balancer bereitstellen möchten, erstellen Sie einen Zertifikatszuordnungseintrag. Sie benötigen keinen Eintrag für die Zertifikatszuordnung, um ein Zertifikat für einen regionalen externen oder regionalen internen Application Load Balancer bereitzustellen.

Erstellen Sie für jedes Zertifikat, das Sie migrieren möchten, Zertifikatszuordnungseinträge So verweisen Sie auf diese Zertifikate:

  1. Mit dem folgenden Befehl können Sie die Details des Zertifikats abrufen:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

    Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.

    Die Ausgabe sieht in etwa so aus:

       -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

  2. Erstellen Sie für jede im Feld subjectAlternativeNames aufgeführte Domain einen Zertifikatszuordnungseintrag, indem Sie die Schritte unter Zertifikatszuordnungseintrag erstellen ausführen. Wenn mehr als ein Zertifikat eine einzelne Domain deckt, müssen Sie nur einen Zertifikatzuordnungseintrag erstellen und einen beliebigen gültigen Zertifikat für diese Domain.

  3. Optional: Erstellen Sie einen Eintrag für die primäre Zertifikatszuordnung, der auf das Zertifikat verweist, das dem ersten Zertifikat aus der Liste der Zertifikate, die ursprünglich an den Proxy angehängt wurden enthalten, wie unter Primären Zertifikatszuordnungseintrag erstellen beschrieben.

  4. Prüfen Sie mit dem folgenden Befehl, ob jeder von Ihnen erstellte Zertifikatzuordnungseintrag aktiv ist:

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

    Ersetzen Sie Folgendes:

    • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zielzertifikatszuordnungseintrags
    • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist

    Die Ausgabe sieht in etwa so aus:

       createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

Optional: Konfiguration auf einem neuen Load Balancer testen

Um Ausfallzeiten zu minimieren, empfehlen wir, Ihre neu konfigurierten Zertifikatszuordnungen auf einem neuen Load Balancer zu testen, der keinen Produktionstraffic bereitstellt. So können Sie Fehler erkennen und beheben, bevor Sie mit der Migration in Ihrer Produktionsumgebung fortfahren.

So testen Sie die Konfiguration:

  1. Erstellen Sie einen neuen Load Balancer mit einem neuen Zielproxy, wie unter Externen Application Load Balancer einrichten beschrieben.

  2. Wenn Sie einen externen Application Load Balancer verwenden, hängen Sie die zu testende Zertifikatszuordnung an den Zielproxy des neuen Load-Balancers an, wie unter Hängen Sie die Zertifikatszuordnung an den Zielproxy an.

    Wenn Sie einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer verwenden, hängen Sie das Zertifikat wie unter Regionales selbstverwaltetes Zertifikat bereitstellen beschrieben an den Zielproxy an.

  3. Testen Sie für jede Zieldomain, die in Ihrer Migration enthalten ist, die Konnektivität zur Domain über die IP-Adresse des neuen Load-Balancers mit dem folgenden Befehl:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Ersetzen Sie Folgendes:

    • DOMAIN_NAME: der Name der Zieldomain
    • IP_ADDRESS ist die IP-Adresse Ihres neuen Load-Balancers.

    Weitere Informationen zum Testen der Konnektivität finden Sie unter Mit OpenSSL testen.

Testumgebung bereinigen

Bereinigen Sie die Testumgebung, die Sie in den vorherigen Schritten erstellt haben, so:

  1. Trennen Sie die Zertifikatszuordnung vom Proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map

    Ersetzen Sie PROXY_NAME durch den Namen des Zielproxies.

  2. Löschen Sie den Test-Load-Balancer, wie unter Load-Balancer löschen beschrieben.

Löschen Sie die Zertifikate, die Zertifikatszuordnung und die Einträge für die Zertifikatszuordnung, die Sie in den vorherigen Schritten erstellt haben, nicht.

Neue Zertifikatzuordnung auf den Ziel-Load Balancer anwenden

Nachdem Sie die neue Zertifikatskonfiguration getestet und ihre Gültigkeit bestätigt haben, wenden Sie die neue Zertifikatszuordnung so auf den Ziel-Load-Balancer an.

  1. Wenn Sie einen externen Application Load Balancer verwenden, hängen Sie die neue Zertifikatszuordnung wie unter Zertifikatszuordnung an den Zielproxy anhängen beschrieben an den entsprechenden Zielproxy an.

    Wenn Sie einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer verwenden, hängen Sie das Zertifikat wie unter Regionales selbstverwaltetes Zertifikat bereitstellen beschrieben an den Zielproxy an.

  2. Warten Sie, bis die Konfigurationsänderung übernommen wurde und der Load-Balancer mit der Bereitstellung des neuen Zertifikats begonnen hat. Das dauert in der Regel einige Minuten, kann aber auch bis zu 30 Minuten dauern.

  3. Wenn Sie Probleme mit Ihrem Traffic feststellen, trennen Sie die neue Zertifikatszuordnung vom Zielproxy. Gehen Sie dazu wie unter Zertifikatszuordnung von einem Proxy trennen beschrieben vor. Hierdurch wird Folgendes zurückgesetzt: des Load-Balancers auf seine ursprüngliche Konfiguration. Andernfalls ist die neue Konfiguration jetzt abgeschlossen.

    Wenn Sie einen regionalen externen oder internen Application Load Balancer verwenden, heben Sie die Änderung auf, indem Sie die zuvor angehängten klassischen Zertifikate anhängen.

Nächste Schritte