Migrer des certificats vers le Gestionnaire de certificats

Cette page décrit la procédure à suivre pour migrer un ou plusieurs certificats vers le Gestionnaire de certificats. Il couvre les scénarios suivants :

  • Migrer les certificats tiers vers le gestionnaire de certificats
  • Migrer les certificats Cloud Load Balancing vers le Gestionnaire de certificats Pour en savoir plus sur les certificats Cloud Load Balancing, consultez la section Présentation des certificats SSL dans la documentation Cloud Load Balancing.

Dans les deux scénarios, aucun temps d'arrêt n'est généré tant qu'aucune erreur ne se produit lors de la configuration.

Pour en savoir plus sur les entités du gestionnaire de certificats mentionnées sur cette page, consultez la section Fonctionnement du gestionnaire de certificats.

Migrer des certificats tiers vers le Gestionnaire de certificats

Cette section explique comment migrer un ou plusieurs certificats fournis par un service tiers vers le Gestionnaire de certificats.

Avant de commencer, vous devez sélectionner et configurer un équilibreur de charge compatible. Le gestionnaire de certificats vous permet d'acquérir et de gérer des certificats TLS (Transport Layer Security) à utiliser avec les ressources d'équilibreur de charge suivantes :

  • Proxys HTTPS cibles utilisés par les équilibreurs de charge d'application :

    • Équilibreur de charge d'application externe mondial
    • Équilibreur de charge d'application classique
    • Équilibreur de charge d'application externe régional
    • Équilibreur de charge d'application interne régional
    • Équilibreur de charge d'application interne interrégional
  • Proxys SSL cibles utilisés par les équilibreurs de charge réseau proxy :

    • Équilibreur de charge réseau proxy externe global
    • Équilibreur de charge réseau proxy classique

Procédez comme suit pour chaque certificat que vous souhaitez migrer:

  1. Déployer le certificat cible avec l'autorisation DNS comme décrit dans la section Déployer un certificat géré par Google avec une autorisation DNS (tutoriel) aux étapes de nettoyage, mais sans y inclure. Utilisez un seul mappage de certificats pour tous les certificats que vous migrez vers votre équilibreur de charge.

  2. Pour chaque certificat déployé à l'étape précédente, testez la connectivité à chaque domaine couvert par le certificat. sur l'adresse IP de votre équilibreur de charge à l'aide de la commande suivante:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
    

    Remplacez les éléments suivants :

    • DOMAIN_NAME: nom du domaine cible
    • IP_ADDRESS: adresse IP de votre équilibreur de charge

    Pour en savoir plus sur les tests de connectivité, consultez Tester avec OpenSSL.

  3. Basculez le trafic de votre service tiers vers Cloud Load Balancing en suivant ces étapes dans Mettre à jour les enregistrements DNS A et AAAA pour qu'ils pointent vers l'adresse IP de l'équilibreur de charge.

Migrer des certificats Cloud Load Balancing vers le Gestionnaire de certificats

Cette section explique comment migrer un ou plusieurs éléments Cloud Load Balancing et les certificats au gestionnaire de certificats.

Identifier les certificats à migrer

Pour identifier les certificats que vous souhaitez migrer, procédez comme suit :

  1. Sur l'équilibreur de charge cible, identifiez le nom du proxy cible.

  2. Identifiez les certificats que vous souhaitez migrer à l'aide de la commande suivante pour obtenir des informations sur le proxy cible, y compris les certificats associés :

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME
    

    Remplacez TARGET_PROXY_NAME par le nom du proxy cible.

    Le résultat ressemble à ce qui suit :

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
    fingerprint: c9Txdx6AfcM=
    id: '365692570234384780'
    kind: compute#targetHttpsProxy
    name: my-proxy
    selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
    sslCertificates:
    - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
    - https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
    urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map
    

    Pour en savoir plus, consultez Obtenir des informations sur un proxy cible.

Créer les certificats dans le gestionnaire de certificats

Créez les certificats sélectionnés dans le gestionnaire de certificats comme suit :

Avant de passer à l'étape suivante, attendez que l'état de chaque certificat soit défini sur ACTIVE, comme décrit dans la section Vérifier que le certificat est actif. L'émission d'un certificat peut prendre plusieurs heures et son état passe à ACTIVE.

Créer le mappage de certificat

Pour déployer le certificat sur un équilibreur de charge d'application externe global ou un équilibreur de charge d'application classique, créez un mappage de certificats en suivant la procédure décrite dans Créer un mappage de certificats.

Vous n'avez pas besoin d'un mappage de certificat pour le déployer sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional.

Créer les entrées de mappage de certificats

Pour déployer le certificat sur un équilibreur de charge d'application externe global ou un équilibreur de charge d'application classique, créez une entrée de mappage de certificats. Vous n'avez pas besoin d'une entrée de mappage de certificats pour déployer un certificat sur un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional.

Pour chaque certificat que vous souhaitez migrer, créez des entrées de mappage de certificats en référençant ces certificats comme suit:

  1. Obtenez les détails du certificat à l'aide de la commande suivante:

    gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME
    

    Remplacez CERTIFICATE_NAME par le nom du certificat cible.

    Le résultat ressemble à ce qui suit :

       -----BEGIN CERTIFICATE-----
       MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
       MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
       CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
       OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
       GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
       MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
       ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
       iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
       KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
       DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
       j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
       cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
       CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
       iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
       Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
       sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
       9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
       BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
       BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
       JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
       MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
       oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
       MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
       AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
       NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
       WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
       9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
       +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
       d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
       -----END CERTIFICATE-----
       creationTimestamp: '2021-05-06T04:39:21.736-07:00'
       expireTime: '2022-06-07T01:10:34.000-07:00'
       id: '6422259403966690822'
       kind: compute#sslCertificate
       managed:
          domainStatus:
          a.my-domain1.example.com: ACTIVE
          b.my-domain2.example.com: ACTIVE
          domains:
          - a.my-domain1.example.com
          - b.my-domain2.example.com
          status: ACTIVE
       name: my-certificate
       selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
       subjectAlternativeNames:
       - a. my-domain1.example.com
       - b. my-domain2.example.com
       type: MANAGED
    
  2. Pour chaque domaine listé dans le champ subjectAlternativeNames, créez une entrée de mappage de certificat couvrant ce domaine en suivant les étapes de la section Créer une entrée de mappage de certificat. Si plusieurs certificats couvrent un même domaine, vous n'avez besoin de créer qu'une seule entrée de mappage de certificats et d'utiliser n'importe quel certificat valide couvrant ce domaine.

  3. Facultatif : Créez une entrée de mappage de certificat principal référençant le certificat qui correspond au premier certificat de la liste des certificats initialement associés au proxy, comme décrit dans la section Créer une entrée de mappage de certificat principal.

  4. Utilisez la commande suivante pour vérifier que chaque entrée de mappage de certificat que vous avez créée est active :

    gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
       --map="CERTIFICATE_MAP_NAME"
    

    Remplacez les éléments suivants :

    • CERTIFICATE_MAP_ENTRY_NAME: nom de la cible entrée de mappage de certificat
    • CERTIFICATE_MAP_NAME: nom du mappage de certificat sur lequel cette entrée de mappage de certificat associe

    Le résultat ressemble à ce qui suit :

       createTime: '2021-09-06T10:01:56.229472109Z'
       name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
       state: ACTIVE
       updateTime: '2021-09-06T10:01:58.277031787Z'
    

Facultatif : tester votre configuration sur un nouvel équilibreur de charge

Pour minimiser les temps d'arrêt, nous vous recommandons de tester vos nouveaux mappages de certificats sur un nouvel équilibreur de charge qui ne sert pas de trafic de production. Cela vous permet de détecter et de résoudre les erreurs avant de procéder à la migration dans votre environnement de production.

Testez votre configuration comme suit:

  1. Créez un équilibreur de charge avec un nouveau proxy cible, comme décrit dans la section Configurer un équilibreur de charge d'application externe.

  2. Si vous utilisez un équilibreur de charge d'application externe, joignez le mappage de certificats que vous souhaitez tester au proxy cible du nouvel équilibreur de charge, comme décrit dans la section Joindre le mappage de certificats au proxy cible.

    Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, joignez le certificat au proxy cible comme décrit dans Déploiement d'un certificat autogéré régional.

  3. Pour chaque domaine cible inclus dans votre migration, testez la connectivité au domaine sur l'adresse IP du nouvel équilibreur de charge à l'aide de la commande suivante:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
    

    Remplacez les éléments suivants :

    • DOMAIN_NAME: nom du domaine cible
    • IP_ADDRESS : adresse IP de votre nouvel équilibreur de charge

    Pour en savoir plus sur les tests de connectivité, consultez Tester avec OpenSSL.

Nettoyer l'environnement de test

Nettoyez l'environnement de test que vous avez créé aux étapes précédentes comme suit:

  1. Dissociez le mappage de certificat du proxy:

    gcloud compute target-https-proxies update PROXY_NAME \
       --clear-certificate-map
    

    Remplacez PROXY_NAME par le nom du proxy cible.

  2. Supprimez l'équilibreur de charge de test comme décrit dans la section Supprimer l'équilibreur de charge.

Ne supprimez pas les certificats, ni les mappages de certificats, ni les entrées de mappage de certificats que vous avez créés aux étapes précédentes.

Appliquer la nouvelle mise en correspondance de certificats à l'équilibreur de charge cible

Après avoir testé votre nouvelle configuration de certificat et confirmé qu'elle est valide, appliquez le nouveau mappage de certificat à l'équilibreur de charge cible comme suit.

  1. Si vous utilisez un équilibreur de charge d'application externe, associez le nouveau mappage de certificat au proxy cible approprié, comme décrit dans Associer le mappage de certificat au proxy cible.

    Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, associez le certificat au proxy cible comme décrit dans la section Déployer un certificat autogéré régional.

  2. Attendez que la modification de configuration ait été appliquée et que l'équilibreur de charge ait commencé à diffuser le nouveau certificat. Cette opération prend généralement quelques minutes, mais peut durer jusqu'à 30 minutes.

  3. Si vous constatez des problèmes avec votre trafic, dissociez la nouvelle mise en correspondance de certificats du proxy cible en suivant la procédure décrite dans Dissocier une mise en correspondance de certificats d'un proxy. Votre équilibreur de charge est alors rétabli dans sa configuration d'origine. Sinon, votre nouvelle configuration est maintenant terminée.

    Si vous utilisez un équilibreur de charge d'application externe régional ou un équilibreur de charge d'application interne régional, annulez la modification en joignant les certificats classiques précédemment associés.

Étape suivante