Diese Seite wurde von der Cloud Translation API übersetzt.

Zertifikate zum Zertifikatmanager migrieren

Auf dieser Seite werden die Schritte zum Migrieren eines oder mehrerer Zertifikate zum Zertifikatmanager beschrieben. Folgende Szenarien werden behandelt:

Drittanbieterzertifikate zum Zertifikatmanager migrieren
Cloud Load Balancing-Zertifikate zum Zertifikatmanager migrieren Weitere Informationen zu Cloud Load Balancing-Zertifikaten finden Sie in der Übersicht über SSL-Zertifikate in der Dokumentation zu Cloud Load Balancing.

Für beide Szenarien kommt es nicht zu Ausfallzeiten, solange während der Konfiguration keine Fehler auftreten.

Weitere Informationen zu den auf dieser Seite erwähnten Entitäten im Zertifikatmanager finden Sie unter Funktionsweise des Zertifikatmanagers.

Zertifikate von Drittanbietern zum Zertifikatmanager migrieren

In diesem Abschnitt wird beschrieben, wie Sie ein oder mehrere von einem Drittanbieterdienst bereitgestellte Zertifikate zum Zertifikatmanager migrieren.

Bevor Sie beginnen, müssen Sie einen unterstützten Load-Balancer auswählen und einrichten. Mit dem Zertifikatmanager können Sie TLS-Zertifikate (Transport Layer Security) zur Verwendung mit den folgenden Load-Balancer-Ressourcen erwerben und verwalten:

Ziel-HTTPS-Proxys, die von Application Load Balancern verwendet werden:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
- Regionaler externer Application Load Balancer (Vorschau)
- Regionaler interner Application Load Balancer (Vorschau)
- Regionsübergreifender interner Application Load Balancer (Vorschau)
Ziel-SSL-Proxys, die von Proxy-Network Load Balancern verwendet werden:
- Globaler externer Proxy-Network Load Balancer
- Klassischer Proxy-Network Load Balancer

Führen Sie für jedes Zertifikat, das Sie migrieren möchten, die folgenden Schritte aus:

Stellen Sie das Zielzertifikat mit DNS-Autorisierung bereit, wie unter Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung) beschrieben, bis ohne die Bereinigungsschritte. Verwenden Sie eine einzige Zertifikatszuordnung für alle Zertifikate, die Sie zu Ihrem Load-Balancer migrieren.
Testen Sie für jedes Zertifikat, das Sie im vorherigen Schritt bereitgestellt haben, die Konnektivität zu jeder Domain, die vom Zertifikat abgedeckt ist, auf der IP-Adresse Ihres Load-Balancers mit dem folgenden Befehl:
```
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
```
Ersetzen Sie Folgendes:
- DOMAIN_NAME: der Name der Zieldomain
- IP_ADDRESS: die IP-Adresse Ihres Load-Balancers
Weitere Informationen zum Testen der Konnektivität finden Sie unter Mit OpenSSL testen.
Stellen Sie den Traffic von Ihrem Drittanbieterdienst zu Cloud Load Balancing um. Führen Sie dazu die Schritte unter DNS-A- und AAAA-Einträge so aktualisieren, dass sie auf die IP-Adresse des Load-Balancers verweisen aus.

Cloud Load Balancing-Zertifikate zum Zertifikatmanager migrieren

In diesem Abschnitt wird beschrieben, wie Sie ein oder mehrere Cloud Load Balancing-Zertifikate zum Zertifikatmanager migrieren.

Zu migrierende Zertifikate identifizieren

Führen Sie die folgenden Schritte aus, um die Zertifikate zu ermitteln, die Sie migrieren möchten:

Ermitteln Sie auf dem Ziel-Load-Balancer den Namen des Zielproxys.

Ermitteln Sie die Zertifikate, die Sie migrieren möchten, indem Sie mit dem folgenden Befehl Informationen zum Zielproxy abrufen, einschließlich der angehängten Zertifikate:

gcloud compute target-https-proxies describe TARGET_PROXY_NAME

Ersetzen Sie TARGET_PROXY_NAME durch den Namen des Zielproxys.

Die Ausgabe sieht in etwa so aus:

creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

Weitere Informationen finden Sie unter Informationen zu einem Zielproxy abrufen.

Zertifikate im Zertifikatmanager erstellen

So erstellen Sie die ausgewählten Zertifikate im Zertifikatmanager:

Führen Sie für jedes selbstverwaltete Zertifikat die Schritte unter Selbstverwaltetes Zertifikat hochladen aus.
Wir empfehlen, für jedes von Google verwaltete Zertifikat das Zertifikat mit einer DNS-Autorisierung zu erstellen. Führen Sie dazu die Schritte unter Von Google verwaltetes Zertifikat mit DNS-Autorisierung bereitstellen (Anleitung) bis zum Schritt „Zertifikat für einen Load-Balancer bereitstellen“ aus. Diesen Schritt führen Sie später in dieser Anleitung aus.

Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der Status jedes Zertifikats in ACTIVE geändert hat, wie unter Prüfen, ob das Zertifikat aktiv ist beschrieben. Es kann mehrere Stunden dauern, bis jedes Zertifikat ausgestellt und sein Status in ACTIVE geändert wird.

Zertifikatszuordnung erstellen

Wenn Sie das Zertifikat für einen globalen externen oder klassischen Application Load Balancer bereitstellen möchten, erstellen Sie anhand der Schritte unter Zertifikatzuordnung erstellen eine Zertifikatszuordnung.

Sie benötigen keine Zertifikatszuordnung, um das Zertifikat in einem regionalen externen oder regionalen internen Application Load Balancer bereitzustellen.

Zertifikatszuordnungseinträge erstellen

Erstellen Sie einen Zertifikatszuordnungseintrag, um das Zertifikat in einem globalen externen oder klassischen Application Load Balancer bereitzustellen. Sie benötigen keinen Zertifikatszuordnungseintrag, um ein Zertifikat auf einem regionalen externen oder regionalen internen Application Load Balancer bereitzustellen.

Erstellen Sie für jedes zu migrierende Zertifikat Zertifikatszuordnungseinträge, die diese Zertifikate folgendermaßen verweisen:

Rufen Sie die Details des Zertifikats mit dem folgenden Befehl ab:

gcloud compute ssl-certificates --project=my-project describe CERTIFICATE_NAME

Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.

Die Ausgabe sieht in etwa so aus:

   -----BEGIN CERTIFICATE-----
   MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
   MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
   OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
   GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
   MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
   ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
   iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
   KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
   DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
   j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
   cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
   CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
   iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
   Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
   sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
   9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
   BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
   BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
   JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
   MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
   oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
   MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
   AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
   NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
   WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
   9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
   +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
   d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
   -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

Erstellen Sie für jede im Feld subjectAlternativeNames aufgeführte Domain einen Zertifikatszuordnungseintrag für diese Domain. Führen Sie dazu die Schritte unter Eintrag für Zertifikatszuordnung erstellen aus. Wenn mehrere Zertifikate eine einzelne Domain abdecken, müssen Sie nur einen Zertifikatszuordnungseintrag erstellen und ein gültiges Zertifikat für diese Domain verwenden.
Optional: Erstellen Sie einen primären Zertifikatszuordnungseintrag, der auf das Zertifikat verweist, das dem ersten Zertifikat aus der Liste der ursprünglich an den Proxy angehängten Zertifikate entspricht, wie unter Eintrag einer primären Zertifikatszuordnung erstellen beschrieben.
Prüfen Sie mit dem folgenden Befehl, ob alle erstellten Zertifikatszuordnungseinträge aktiv sind:
```
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"
```
Ersetzen Sie Folgendes:
- CERTIFICATE_MAP_ENTRY_NAME: der Name des Eintrags für die Zielzertifikatzuordnung
- CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt ist
Die Ausgabe sieht in etwa so aus:
```
   createTime: '2021-09-06T10:01:56.229472109Z'
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'
```

Optional: Konfiguration auf einem neuen Load-Balancer testen

Zum Minimieren der Ausfallzeit empfehlen wir, die neu konfigurierten Zertifikatszuordnungen auf einem neuen Load-Balancer zu testen, der keinen Produktionstraffic verarbeitet. So können Sie Fehler erkennen und beheben, bevor Sie mit der Migration in der Produktionsumgebung fortfahren.

Testen Sie die Konfiguration so:

Erstellen Sie einen neuen Load-Balancer mit einem neuen Zielproxy. Weitere Informationen finden Sie unter Externen Application Load Balancer einrichten.
Wenn Sie einen externen Application Load Balancer verwenden, hängen Sie die Zertifikatszuordnung, die Sie testen möchten, an den Zielproxy des neuen Load-Balancers an, wie unter Zertifikatzuordnung an den Zielproxy anhängen beschrieben.

Wenn Sie einen regionalen externen oder regionalen internen Application Load Balancer verwenden, hängen Sie das Zertifikat wie unter Regionales selbstverwaltetes Zertifikat bereitstellen beschrieben an den Zielproxy an.
Testen Sie für jede in der Migration enthaltene Zieldomain die Verbindung zur Domain über die IP-Adresse des neuen Load-Balancers mit dem folgenden Befehl:
```
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
```
Ersetzen Sie Folgendes:
- DOMAIN_NAME: der Name der Zieldomain
- IP_ADDRESS: die IP-Adresse des neuen Load-Balancers
Weitere Informationen zum Testen der Konnektivität finden Sie unter Mit OpenSSL testen.

Testumgebung bereinigen

Bereinigen Sie die Testumgebung, die Sie in den vorherigen Schritten erstellt haben:

Trennen Sie die Zertifikatszuordnung vom Proxy:
```
gcloud compute target-https-proxies update PROXY_NAME \
   --clear-certificate-map
```
Ersetzen Sie PROXY_NAME durch den Namen des Zielproxys.
Löschen Sie den Test-Load-Balancer, wie unter Load-Balancer löschen beschrieben.

Löschen Sie nicht die Einträge zu Zertifikaten, Zertifikatszuordnungen oder Zertifikatszuordnungen, die Sie in den vorherigen Schritten erstellt haben.

Wenden Sie die neue Zertifikatszuordnung auf den Ziel-Load-Balancer an.

Nachdem Sie die neue Zertifikatskonfiguration getestet und ihre Gültigkeit überprüft haben, wenden Sie die neue Zertifikatszuordnung wie folgt auf den Ziel-Load-Balancer an.

Wenn Sie einen externen Application Load Balancer verwenden, hängen Sie die neue Zertifikatszuordnung an den entsprechenden Zielproxy an, wie unter Zertifikatzuordnung an den Zielproxy anhängen beschrieben.

Wenn Sie einen regionalen externen oder regionalen internen Application Load Balancer verwenden, hängen Sie das Zertifikat wie unter Regionales selbstverwaltetes Zertifikat bereitstellen beschrieben an den Zielproxy an.
Warten Sie, bis die Konfigurationsänderung angewendet wurde und der Load-Balancer damit begonnen hat, das neue Zertifikat bereitzustellen. Das dauert in der Regel einige Minuten, kann aber auch bis zu 30 Minuten in Anspruch nehmen.
Wenn Probleme mit Ihrem Traffic auftreten, trennen Sie die neue Zertifikatszuordnung vom Zielproxy. Führen Sie dazu die Schritte unter Zertifikatzuordnung von einem Proxy trennen aus. Dadurch wird der Load-Balancer auf seine ursprüngliche Konfiguration zurückgesetzt. Andernfalls ist die neue Konfiguration jetzt abgeschlossen.

Wenn Sie einen regionalen externen oder einen regionalen internen Application Load Balancer verwenden, können Sie die Änderung rückgängig machen, indem Sie die zuvor angehängten klassischen Zertifikate anhängen.