Cette page décrit la procédure à suivre pour migrer un ou plusieurs certificats vers le Gestionnaire de certificats. Il couvre les scénarios suivants :
- Migrer les certificats tiers vers le gestionnaire de certificats
- Migrer les certificats Cloud Load Balancing vers le Gestionnaire de certificats Pour en savoir plus sur les certificats Cloud Load Balancing, consultez la section Présentation des certificats SSL dans la documentation Cloud Load Balancing.
Dans les deux scénarios, aucun temps d'arrêt n'est généré tant qu'aucune erreur ne se produit lors de la configuration.
Pour en savoir plus sur les entités du gestionnaire de certificats mentionnées sur cette page, consultez la section Fonctionnement du gestionnaire de certificats.
Migrer des certificats tiers vers le Gestionnaire de certificats
Cette section explique comment migrer un ou plusieurs certificats fournis par un service tiers vers le Gestionnaire de certificats.
Avant de commencer, vous devez sélectionner et configurer un équilibreur de charge compatible. Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes :
Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application :
- Équilibreur de charge d'application externe mondial
- Équilibreur de charge d'application classique
- Équilibreur de charge d'application externe régional
- Équilibreur de charge d'application interne régional
- Équilibreur de charge d'application interne interrégional
Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy :
- Équilibreur de charge réseau proxy externe global
- Équilibreur de charge réseau proxy classique
Procédez comme suit pour chaque certificat que vous souhaitez migrer:
Déployer le certificat cible avec l'autorisation DNS comme décrit dans la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel) aux étapes de nettoyage, mais sans y inclure. Utilisez un seul mappage de certificats pour tous les certificats que vous migrez vers votre équilibreur de charge.
Pour chaque certificat déployé à l'étape précédente, testez la connectivité à chaque domaine couvert par le certificat. sur l'adresse IP de votre équilibreur de charge à l'aide de la commande suivante:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Remplacez les éléments suivants :
DOMAIN_NAME
: nom du domaine cibleIP_ADDRESS
: adresse IP de votre équilibreur de charge
Pour en savoir plus sur les tests de connectivité, consultez Tester avec OpenSSL.
Basculez le trafic de votre service tiers vers Cloud Load Balancing en suivant ces étapes dans Mettre à jour les enregistrements DNS A et AAAA pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge.
Migrer des certificats Cloud Load Balancing vers le Gestionnaire de certificats
Cette section explique comment migrer un ou plusieurs éléments Cloud Load Balancing et les certificats au gestionnaire de certificats.
Identifier les certificats à migrer
Pour identifier les certificats que vous souhaitez migrer, procédez comme suit :
Sur l'équilibreur de charge cible, identifiez le nom du proxy cible.
Identifiez les certificats que vous souhaitez migrer à l'aide de la commande suivante pour obtenir des informations sur le proxy cible, y compris les certificats associés :
gcloud compute target-https-proxies describe TARGET_PROXY_NAME
Remplacez
TARGET_PROXY_NAME
par le nom du proxy cible.Le résultat ressemble à ce qui suit :
creationTimestamp: '2021-10-06T04:05:07.520-07:00' fingerprint: c9Txdx6AfcM= id: '365692570234384780' kind: compute#targetHttpsProxy name: my-proxy selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy sslCertificates: - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
Pour en savoir plus, consultez Obtenir des informations sur un proxy cible.
Créer les certificats dans le gestionnaire de certificats
Créez les certificats sélectionnés dans le gestionnaire de certificats comme suit :
- Pour chaque certificat autogéré, suivez la procédure décrite dans Importer un certificat autogéré.
- Nous vous recommandons de créer un certificat avec une autorisation DNS pour chaque certificat géré par Google en suivant la procédure Déployer un certificat géré par Google avec une autorisation DNS (tutoriel) jusqu'à mais sans l'option "Déployer le certificat sur un équilibreur de charge" étape. Vous effectuerez cette étape plus loin dans ce guide.
Avant de passer à l'étape suivante, attendez que l'état de chaque certificat soit défini sur ACTIVE
, comme décrit dans la section Vérifier que le certificat est actif.
L'émission d'un certificat peut prendre plusieurs heures et son état passe à ACTIVE
.
Créer le mappage de certificat
Pour déployer le certificat sur un équilibreur de charge d'application externe global ou un équilibreur de charge d'application classique, créez un mappage de certificats en suivant la procédure décrite dans Créer un mappage de certificats.
Vous n'avez pas besoin d'un mappage de certificat pour le déployer sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional.
Créer les entrées de mappage de certificats
Pour déployer le certificat sur un équilibreur de charge d'application externe global ou un équilibreur de charge d'application classique, créez une entrée de mappage de certificats. Vous n'avez pas besoin d'une entrée de mappage de certificats pour déployer un certificat sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional.
Pour chaque certificat que vous souhaitez migrer, créez des entrées de mappage de certificats en référençant ces certificats comme suit:
Obtenez les détails du certificat à l'aide de la commande suivante:
gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
Remplacez
CERTIFICATE_NAME
par le nom du certificat cible.Le résultat ressemble à ce qui suit :
-----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE----- creationTimestamp: '2021-05-06T04:39:21.736-07:00' expireTime: '2022-06-07T01:10:34.000-07:00' id: '6422259403966690822' kind: compute#sslCertificate managed: domainStatus: a.my-domain1.example.com: ACTIVE b.my-domain2.example.com: ACTIVE domains: - a.my-domain1.example.com - b.my-domain2.example.com status: ACTIVE name: my-certificate selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate subjectAlternativeNames: - a. my-domain1.example.com - b. my-domain2.example.com type: MANAGED
Pour chaque domaine listé dans le champ
subjectAlternativeNames
, créez une entrée de mappage de certificat couvrant ce domaine en suivant les étapes de la section Créer une entrée de mappage de certificat. Si plusieurs certificats couvrent un même domaine, vous n'avez besoin de créer qu'une seule entrée de mappage de certificats et d'utiliser n'importe quel certificat valide couvrant ce domaine.Facultatif : Créez une entrée de mappage de certificat principal référençant le certificat qui correspond au premier certificat de la liste des certificats initialement associés au proxy, comme décrit dans la section Créer une entrée de mappage de certificat principal.
Utilisez la commande suivante pour vérifier que chaque entrée de mappage de certificat que vous avez créée est active :
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Remplacez les éléments suivants :
CERTIFICATE_MAP_ENTRY_NAME
: nom de la cible entrée de mappage de certificatCERTIFICATE_MAP_NAME
: nom du mappage de certificat sur lequel cette entrée de mappage de certificat associe
Le résultat ressemble à ce qui suit :
createTime: '2021-09-06T10:01:56.229472109Z' name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Facultatif : tester votre configuration sur un nouvel équilibreur de charge
Pour minimiser les temps d'arrêt, nous vous recommandons de tester vos nouveaux mappages de certificats sur un nouvel équilibreur de charge qui ne sert pas de trafic de production. Cela vous permet de détecter et de résoudre les erreurs avant de procéder à la migration dans votre environnement de production.
Testez votre configuration comme suit:
Créez un équilibreur de charge avec un nouveau proxy cible, comme décrit dans la section Configurer un équilibreur de charge d'application externe.
Si vous utilisez un équilibreur de charge d'application externe, joignez le mappage de certificats que vous souhaitez tester au proxy cible du nouvel équilibreur de charge, comme décrit dans la section Joindre le mappage de certificats au proxy cible.
Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, joignez le certificat au proxy cible comme décrit dans Déploiement d'un certificat autogéré régional.
Pour chaque domaine cible inclus dans votre migration, testez la connectivité au domaine sur l'adresse IP du nouvel équilibreur de charge à l'aide de la commande suivante:
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
Remplacez les éléments suivants :
DOMAIN_NAME
: nom du domaine cibleIP_ADDRESS
: adresse IP de votre nouvel équilibreur de charge
Pour en savoir plus sur les tests de connectivité, consultez Tester avec OpenSSL.
Nettoyer l'environnement de test
Nettoyez l'environnement de test que vous avez créé aux étapes précédentes comme suit:
Dissociez le mappage de certificat du proxy:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Remplacez
PROXY_NAME
par le nom du proxy cible.Supprimez l'équilibreur de charge de test comme décrit dans la section Supprimer l'équilibreur de charge.
Ne supprimez pas les certificats, ni les mappages de certificats, ni les entrées de mappage de certificats que vous avez créés aux étapes précédentes.
Appliquer la nouvelle mise en correspondance de certificats à l'équilibreur de charge cible
Après avoir testé votre nouvelle configuration de certificat et confirmé qu'elle est valide, appliquez le nouveau mappage de certificat à l'équilibreur de charge cible comme suit.
Si vous utilisez un équilibreur de charge d'application externe, associez le nouveau mappage de certificat au proxy cible approprié, comme décrit dans Associer le mappage de certificat au proxy cible.
Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, associez le certificat au proxy cible comme décrit dans la section Déployer un certificat autogéré régional.
Attendez que la modification de configuration ait été appliquée et que l'équilibreur de charge ait commencé à diffuser le nouveau certificat. Cette opération prend généralement quelques minutes, mais peut durer jusqu'à 30 minutes.
Si vous constatez des problèmes avec votre trafic, dissociez la nouvelle mise en correspondance de certificats du proxy cible en suivant la procédure décrite dans Dissocier une mise en correspondance de certificats d'un proxy. Votre équilibreur de charge est alors rétabli dans sa configuration d'origine. Sinon, votre nouvelle configuration est maintenant terminée.
Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, annulez la modification en joignant les certificats classiques précédemment associés.
Étape suivante
- Déployer un certificat géré par Google avec une autorisation DNS (tutoriel)
- Déployer un certificat géré par Google avec une autorisation d'équilibrage de charge (tutoriel)
- Déployer un certificat géré par Google avec CA Service (tutoriel)
- Déployer un certificat autogéré mondial (tutoriel)
- Déployer un certificat régional autogéré (tutoriel) (bêta)