Utilizza certificati SSL gestiti da Google

Questa pagina illustra come creare e utilizzare i certificati SSL di Compute Engine gestiti da Google.

Per creare certificati gestiti da Google utilizzando Gestore certificati, consulta Panoramica del deployment.

I certificati SSL gestiti da Google sono certificati di convalida del dominio (DV) che Google Cloud ottiene e gestisce per i tuoi domini. Supportano più nomi host in ogni certificato e Google li rinnova automaticamente.

I certificati gestiti da Google sono supportati con i seguenti bilanciatori del carico:

• Bilanciatore del carico delle applicazioni esterno globale
• Bilanciatore del carico delle applicazioni classico
• Bilanciatore del carico di rete proxy esterno (con un proxy SSL di destinazione)

I certificati SSL gestiti da Google non sono supportati per gli Application Load Balancer esterni regionali e per gli Application Load Balancer interni regionali. Per questi bilanciatori del carico, utilizza i certificati SSL autogestiti.

Puoi anche utilizzare certificati SSL gestiti con Google Kubernetes Engine. Per ulteriori informazioni, consulta l'articolo sull'utilizzo dei certificati SSL gestiti da Google.

Puoi creare un certificato gestito da Google prima, durante o dopo la creazione del bilanciatore del carico. Questa pagina presuppone che tu stia creando il certificato Compute Engine prima o dopo aver creato il bilanciatore del carico, non durante. Per creare il certificato durante la creazione del bilanciatore del carico, consulta le pagine di istruzioni.

Prima di iniziare

• Assicurati di avere familiarità con la panoramica dei certificati SSL.
• Assicurati di avere i nomi di dominio che vuoi utilizzare per il tuo certificato SSL gestito da Google. Se utilizzi Cloud Domains, consulta Registrare un dominio.

• Assicurati di aver abilitato l'API Compute Engine per il tuo progetto.

  Abilita l'API Compute Engine

Autorizzazioni

Per seguire questa guida, devi essere in grado di creare e modificare i certificati SSL nel tuo progetto. Puoi eseguire questa operazione se una delle seguenti condizioni è vera:

• Sei un proprietario o un editor del progetto (roles/owner o roles/editor).
• Hai sia il ruolo Amministratore sicurezza Compute (compute.securityAdmin) sia il ruolo Amministratore rete Compute (compute.networkAdmin) nel progetto.
• Hai un ruolo personalizzato per il progetto che include le autorizzazioni compute.sslCertificates.* e una o entrambe compute.targetHttpsProxies.* e compute.targetSslProxies.*, a seconda del tipo di bilanciatore del carico che stai utilizzando.

Passaggio 1: Crea un certificato SSL gestito da Google

Puoi creare un certificato gestito da Google prima, durante o dopo la creazione del bilanciatore del carico. Durante il processo di creazione di un bilanciatore del carico nella console Google Cloud, puoi utilizzare la console Google Cloud per creare il certificato. In alternativa, puoi creare il certificato prima o dopo aver creato il bilanciatore del carico. Questo passaggio mostra come creare un certificato da aggiungere in seguito a uno o più bilanciatori del carico.

Se hai già creato il certificato SSL gestito da Google, puoi saltare questo passaggio.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Verificare lo stato di un certificato SSL gestito da Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

A questo punto, lo stato del certificato e del dominio sono PROVISIONING. Dopo aver completato i passaggi descritti in questa pagina, lo stato cambia in ACTIVE.

Per ulteriori informazioni sugli stati, consulta la pagina per la risoluzione dei problemi.

Passaggio 2: crea o aggiorna il bilanciatore del carico

Per diventare ACTIVE, il certificato SSL gestito da Google deve essere associato a un bilanciatore del carico, in particolare al proxy di destinazione del bilanciatore del carico.

Dopo aver creato il certificato SSL e averlo allo stato PROVISIONING, puoi utilizzarlo durante la creazione del bilanciatore del carico, come descritto nelle seguenti guide illustrative:

• Configura un bilanciatore del carico delle applicazioni esterno globale con un backend di Compute Engine.
• Configura un bilanciatore del carico delle applicazioni classico con un backend di Compute Engine.
• Configurare un bilanciatore del carico di rete proxy esterno con un proxy SSL

In alternativa, puoi utilizzarlo per aggiornare un bilanciatore del carico esistente, come descritto qui:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Ogni proxy HTTPS di destinazione o proxy SSL di destinazione deve fare riferimento ad almeno un certificato SSL. Un proxy di destinazione può fare riferimento a più certificati SSL. Per maggiori dettagli, consulta Pool di destinazione e proxy di destinazione nelle quote e nei limiti delle risorse di bilanciamento del carico.

Passaggio 3: verifica l'associazione del proxy di destinazione

Dopo aver creato o aggiornato il bilanciatore del carico, puoi assicurarti che il certificato SSL sia associato al proxy di destinazione del bilanciatore del carico.

Se non conosci già il nome del proxy di destinazione, utilizza i comandi gcloud compute target-https-proxies list e gcloud compute target-ssl-proxies list per elencare i proxy di destinazione nel progetto.

Verifica l'associazione tra il certificato SSL e il proxy di destinazione eseguendo questo comando.

Per i bilanciatori del carico delle applicazioni esterni globali:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Per i bilanciatori del carico di rete proxy esterni:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

A questo punto, lo stato del certificato gestito da Google potrebbe essere ancora PROVISIONING. Google Cloud sta collaborando con l'autorità di certificazione per emettere il certificato. Il provisioning di un certificato gestito da Google potrebbe richiedere fino a 60 minuti.

Passaggio 4: aggiorna i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico

I tuoi record DNS possono essere gestiti presso il sito del registrar, l'host DNS o l'ISP.

Durante la gestione dei record, tieni presente quanto segue:

• Assicurati che i record DNS A (per IPv4) e i record AAAA DNS (per IPv6) per i tuoi domini e per eventuali sottodomini puntino all'indirizzo IP associato alla regola o alle regole di forwarding del bilanciatore del carico.

• Se utilizzi Cloud DNS, configura i tuoi domini e aggiorna i server dei nomi.

• Se un certificato gestito da Google contiene più domini, aggiungi o aggiorna i record DNS per tutti i domini e i sottodomini in modo che puntino all'indirizzo IP del bilanciatore del carico.

Il provisioning dei certificati gestiti viene eseguito correttamente quando si verificano le seguenti condizioni:

• I record DNS del tuo dominio utilizzano un record CNAME che rimanda a un altro dominio.
• L'altro dominio contiene un record A o AAAA che punta all'indirizzo IP del bilanciatore del carico.

Puoi verificare la configurazione eseguendo il comando dig. Ad esempio, supponi che il tuo dominio sia www.example.com. Esegui questo comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:
;; flags: ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL:

;; PSEUDOSECTION:
; EDNS: version: 0, flags:; udp:
;; SECTION:
;www.example.com.

;; SECTION:
www.example.com.   example.net.
example.net.       34.95.64.10

;; time:
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: 16:54:44
;;  rcvd: 31748 qr rd 1 OPT 512 QUESTION IN A ANSWER 1742 IN CNAME 12 IN A Query 43 msec Wed Jun 03 PDT 2020 MSG SIZE 193>

In questo esempio, 34.95.64.10 è l'indirizzo IP del bilanciatore del carico.

I resolver DNS su internet non sono controllabili da Google Cloud. I set di record di risorse vengono memorizzati nella cache in base alla durata (TTL), il che significa che un comando dig o nslookup potrebbe restituire un valore memorizzato nella cache. Se utilizzi Cloud DNS, consulta la sezione Propagazione delle modifiche.

Tempo di propagazione del record DNS

La propagazione completa dei record DNS A e AAAA appena aggiornati può richiedere molto tempo. A volte la propagazione su internet richiede fino a 72 ore in tutto il mondo, anche se in genere richiede alcune ore.

Esegui nuovamente questo comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Se lo stato del tuo dominio è FAILED_NOT_VISIBLE, è possibile che la propagazione non sia completata.

Per informazioni dettagliate, consulta la sezione relativa allo stato del dominio del certificato SSL gestito da Google nella pagina Risoluzione dei problemi.

Passaggio 5: esegui un test con OpenSSL

Quando gli stati del certificato e del dominio sono attivi, potrebbero essere necessari fino a 30 minuti prima che il bilanciatore del carico inizi a utilizzare il certificato SSL gestito da Google.

Per verificare, esegui il comando OpenSSL seguente, sostituendo DOMAIN con il tuo nome DNS e IP_ADDRESS con l'indirizzo IP del bilanciatore del carico.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Questo comando restituisce i certificati che il bilanciatore del carico presenta al client. Oltre ad altre informazioni dettagliate, l'output dovrebbe includere la catena di certificati e Verify return code: 0 (ok).

Procedure aggiuntive

Questa sezione contiene procedure aggiuntive per la gestione dei certificati.

Supporto di più domini con un certificato SSL gestito da Google

Sono supportati più nomi alternativi dei soggetti. Ogni certificato SSL gestito da Google supporta fino al numero massimo di domini per certificato SSL gestito da Google.

Se hai più del numero massimo di domini, devi richiedere più certificati gestiti da Google. Ad esempio, se provi a creare un certificato gestito da Google con il (numero massimo + 1) dei domini, Google non emette alcun certificato. Devi invece creare due o più certificati gestiti da Google e indicare esplicitamente quali domini sono associati a ciascun certificato.

Google Cloud implementa SNI (Server Name Indication), come definito in RFC 6066.

Se uno dei domini o sottodomini in un certificato gestito non punta all'indirizzo IP del bilanciatore del carico, il processo di rinnovo non va a buon fine. Per evitare che il rinnovo non vada a buon fine, assicurati che tutti i domini e i sottodomini indirizzino all'indirizzo IP del bilanciatore del carico.

Rinnova un certificato SSL gestito da Google

Google Cloud esegue il provisioning di certificati gestiti validi per 90 giorni. Circa un mese prima della scadenza, la procedura di rinnovo del certificato inizia automaticamente. Per farlo, viene scelta un'autorità di certificazione (CA) che si trova sia nel record DNS CAA (Certification Authority Authorization) del tuo dominio sia nell'elenco delle CA.

La CA utilizzata per il rinnovo potrebbe essere diversa dalla CA utilizzata per emettere una versione precedente del tuo certificato gestito da Google. Puoi controllare la CA utilizzata da Google Cloud per il rinnovo assicurandoti che il record DNS CAA del tuo dominio specifichi una singola CA nell'elenco delle CA utilizzate dai certificati gestiti da Google.

Se uno dei domini o sottodomini in un certificato gestito non punta all'indirizzo IP del bilanciatore del carico, il processo di rinnovo non va a buon fine. Per evitare che il rinnovo non vada a buon fine, assicurati che tutti i domini e i sottodomini indirizzino all'indirizzo IP del bilanciatore del carico.

Specifica le CA che possono emettere il certificato gestito da Google

Nel tuo software DNS, ti consigliamo di autorizzare esplicitamente le CA a cui vuoi consentire di rilasciare il certificato gestito da Google. Sebbene non sia obbligatorio in tutti i casi, è necessario in determinate situazioni.

Ad esempio, se utilizzi un servizio DNS esterno e il certificato gestito da Google viene revocato, il servizio potrebbe convalidare solo un nuovo certificato emesso da una o più CA specifiche.

A questo scopo, crea o modifica un record CAA in modo da includere pki.goog, letsencrypt.org o entrambi. Se non hai un record CAA, il comportamento predefinito è consentire sia pki.goog sia letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

Il supporto per i certificati letsencrypt.org viene fornito secondo il criterio del "best effort". Per un'affidabilità ottimale, consenti sia pki.goog sia letsencrypt.org. Se specifichi solo una delle CA, verrà utilizzata solo quella CA per creare e rinnovare il certificato. Questo approccio non è consigliato.

Quando crei il certificato per la prima volta, Google Cloud seleziona pki.goog o letsencrypt.org e lo utilizza per emettere il certificato. Quando Google rinnova il certificato, questo potrebbe essere emesso dall'altra CA, a seconda delle CA specificate nel record CAA (se ne hai creato una). Il certificato potrebbe essere rinnovato da un'altra CA in uno dei seguenti casi:

• Non hai un record CAA DNS per il tuo dominio.
• Hai incluso entrambe le CA nel record DNS CAA.

Per ulteriori informazioni, consulta la specifica RFC, record DNS CAA.

letsencrypt.org genera Nomi di dominio internazionalizzati (IDN). pki.goog attualmente non supporta gli IDN.

Se utilizzi Cloud DNS, scopri come aggiungere un record e assicurati di impostare il flag --type su CAA.

Sostituisci un certificato SSL esistente

Per sostituire un certificato SSL esistente:

1. Avvia la procedura per la creazione del certificato SSL sostitutivo gestito da Google. Questo certificato non diventa ATTIVO in questo momento.

2. Aggiorna il proxy di destinazione in modo che l'elenco dei certificati di riferimento includa il certificato SSL sostitutivo e i certificati SSL correnti. I passaggi per aggiornare il proxy di destinazione variano come indicato di seguito:

   • Aggiorna un proxy HTTPS di destinazione
   • Aggiorna un proxy SSL di destinazione

3. Attendi che il certificato SSL sostitutivo completi il provisioning. Il provisioning potrebbe richiedere fino a 60 minuti. Al termine del provisioning, lo stato del certificato diventa ACTIVE.

4. Attendi altri 30 minuti per assicurarti che il certificato sostitutivo sia disponibile per tutti i Google Front End (GFE).

5. Aggiorna il proxy di destinazione per rimuovere il certificato SSL che stai sostituendo dall'elenco dei certificati di riferimento. I passaggi per aggiornare un proxy di destinazione variano come segue:

   • Aggiorna un proxy HTTPS di destinazione
   • Aggiorna un proxy SSL di destinazione

6. Attendi 10 minuti e verifica che il bilanciatore del carico utilizzi il certificato SSL sostitutivo anziché quello precedente.

7. Aggiorna di nuovo il proxy di destinazione, rimuovendo la risorsa del certificato SSL precedente. Puoi eliminare la risorsa del certificato SSL se non fa più riferimento a nessun proxy di destinazione.

Se non elimini il certificato SSL precedente, rimarrà ATTIVO fino alla scadenza.

Esegui la migrazione dai certificati SSL autogestiti ai certificati SSL gestiti da Google

Quando esegui la migrazione di un bilanciatore del carico dall'utilizzo di certificati SSL autogestiti ai certificati SSL gestiti da Google, in questa sequenza devi eseguire i seguenti passaggi:

1. Crea un nuovo certificato gestito da Google.
2. Associa il nuovo certificato gestito da Google al proxy di destinazione corretto mantenendo l'associazione del proxy di destinazione con il certificato autogestito esistente.
3. Attendi che lo stato del certificato gestito da Google sia ACTIVE.
4. Attendi 30 minuti per consentire la propagazione del nuovo certificato alla gestione dei Google Front End (GFE)
5. Aggiorna di nuovo il proxy di destinazione, rimuovendo la risorsa del certificato autogestito. Puoi eliminare la risorsa del certificato SSL autogestito se non vi fa più riferimento da alcun proxy di destinazione.

Elimina un certificato SSL

Prima di eliminare un certificato SSL, assicurati che nessun proxy di destinazione HTTPS o SSL faccia riferimento a questo certificato. Puoi farlo in due modi:

• Elimina i proxy di destinazione che fanno riferimento a questo certificato.

• Aggiorna i proxy di destinazione che fanno riferimento a questo certificato per escluderlo. I passaggi variano come segue:

  • Aggiorna un proxy di destinazione HTTPS.
  • Aggiorna un proxy di destinazione SSL.

Per eliminare uno o più certificati SSL:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Passaggi successivi

• Per risolvere i problemi relativi ai certificati SSL, consulta Risoluzione dei problemi relativi ai certificati SSL.
• Per utilizzare uno script Terraform che crea un certificato gestito da Google, vedi l'esempio di Cloud Run nella pagina Esempi di moduli Terraform per Application Load Balancer esterno.