Auf dieser Seite wird erläutert, wie Sie von Google verwaltete Compute Engine-SSL-Zertifikate erstellen und verwenden.
Informationen zum Erstellen von von Google verwalteten Zertifikaten mit Certificate Manager finden Sie in der Bereitstellungsübersicht.
Von Google verwaltete SSL-Zertifikate sind DV-Zertifikate, die von Google Cloud für Ihre Domains abgerufen und verwaltet werden. Sie unterstützen mehrere Hostnamen in jedem Zertifikat und Google verlängert die Zertifikate automatisch.
Selbstverwaltete Zertifikate werden von den folgenden Load-Balancern unterstützt:
- Globaler externer Anwendungs-Load-Balancer
- Klassischer Application Load Balancer
- Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)
Von Google verwaltete Compute Engine-SSL-Zertifikate werden für regionale externe Application Load Balancer, regionale interne Application Load Balancer und regionsübergreifende interne Application Load Balancer nicht unterstützt. Für diese Load Balancer können Sie entweder selbstverwaltete Compute Engine-SSL-Zertifikate oder stattdessen den Zertifikatmanager verwenden.
Sie können verwaltete SSL-Zertifikate auch mit Google Kubernetes Engine verwenden. Weitere Informationen finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.
Sie können ein von Google verwaltetes Zertifikat vor, während oder nach der Erstellung des Load-Balancers erstellen. Auf dieser Seite wird davon ausgegangen, dass Sie das Compute Engine-Zertifikat vor oder nach der Erstellung des Load-Balancers erstellen, nicht währenddessen. Informationen zum Erstellen des Zertifikats während der Erstellung des Load-Balancers finden Sie auf den Anleitungsseiten des Load-Balancers.
Hinweise
- Sie sollten mit den Inhalten in der Übersicht über SSL-Zertifikate vertraut sein.
- Achten Sie darauf, dass Sie die Domainnamen haben, die Sie für Ihr von Google verwaltetes SSL-Zertifikat verwenden möchten. Wenn Sie Cloud Domains verwenden, lesen Sie den Abschnitt Domain registrieren.
Achten Sie darauf, dass die Compute Engine API für Ihr Projekt aktiviert ist.
Berechtigungen
Damit Sie dieser Anleitung folgen können, müssen Sie in Ihrem Projekt SSL-Zertifikate erstellen und ändern können. Dies ist möglich, wenn eine der folgenden Aussagen zutrifft:
- Sie sind Projektinhaber oder Projektbearbeiter (
roles/owner
oderroles/editor
). - Sie haben im Projekt sowohl die Rolle „Compute-Sicherheitsadministrator“ (
compute.securityAdmin
) als auch die Rolle „Compute-Netzwerkadministrator“ (compute.networkAdmin
). - Sie haben eine benutzerdefinierte Rolle für das Projekt, die einerseits die Berechtigungen
compute.sslCertificates.*
und andererseits, je nach verwendetem Load-Balancer-Typ, eine der oder die beiden Berechtigungencompute.targetHttpsProxies.*
undcompute.targetSslProxies.*
enthält.
Schritt 1: Von Google verwaltetes SSL-Zertifikat erstellen
Sie können ein von Google verwaltetes Zertifikat vor, während oder nach der Erstellung des Load-Balancers erstellen. Beim Erstellen eines Load-Balancers in der Google Cloud Console können Sie die Google Cloud Console für die Erstellung des Zertifikats verwenden. Alternativ können Sie das Zertifikat vor oder nach dem Erstellen des Load-Balancers erstellen. In diesem Schritt erfahren Sie, wie Sie ein Zertifikat erstellen, das Sie später einem oder mehreren Load-Balancern hinzufügen können.
Wenn Sie Ihr von Google verwaltetes SSL-Zertifikat bereits erstellt haben, können Sie diesen Schritt überspringen.
Console
Sie können globale SSL-Zertifikate auf dem Tab Klassische Zertifikate der Seite Zertifikatmanager verwenden.
- Rufen Sie in der Google Cloud Console den Tab Klassische Zertifikate auf.
Zu den Klassischen Zertifikaten - Klicken Sie auf SSL-Zertifikat erstellen.
- Geben Sie einen Namen und optional eine Beschreibung für das Zertifikat ein.
- Wählen Sie Von Google verwaltetes Zertifikat erstellen aus.
- Fügen Sie die Domains hinzu.
- Klicken Sie auf Erstellen.
gcloud
Verwenden Sie den Befehl gcloud compute ssl-certificates
create
, um ein globales von Google verwaltetes SSL-Zertifikat für einen globalen externen Anwendungs-Load-Balancer oder einen externen Proxy-Netzwerk-Load-Balancer zu erstellen:
gcloud compute ssl-certificates create CERTIFICATE_NAME \ --description=DESCRIPTION \ --domains=DOMAIN_LIST \ --global
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein Name für das globale SSL-ZertifikatDESCRIPTION
: eine Beschreibung für das globale SSL-ZertifikatDOMAIN_LIST
: ein einzelner Domainname oder eine durch Kommas getrennte Liste von Domainnamen, die für dieses Zertifikat verwendet werden sollen
Terraform
Verwenden Sie zum Erstellen des von Google verwalteten SSL-Zertifikats die Ressource google_compute_managed_ssl_certificate
.
API
Erstellen Sie die Methode sslCertificates.insert
für von Google verwalteten Zertifikatsressourcen und ersetzen Sie PROJECT_ID
durch Ihre Projekt-ID.
POST https://compute.googleapis.com/compute/v1/projects/[PROJECT_ID]/global/sslCertificates
{
"name": "ssl-certificate-name",
"managed": {
"domains": [
"www.example.com"
]
},
"type": "MANAGED"
}
Status eines von Google verwalteten SSL-Zertifikats prüfen
Console
Sie können den Status Ihrer globalen SSL-Zertifikate auf dem Tab Klassische Zertifikate der Seite Zertifikatmanager prüfen.
- Rufen Sie in der Google Cloud Console den Tab Klassische Zertifikate auf.
Zu den Klassischen Zertifikaten - Optional: Filtern Sie die Liste der SSL-Zertifikate.
- Prüfen Sie die Spalte Status.
- Klicken Sie für weitere Details auf den Zertifikatsnamen.
gcloud
Zum Ermitteln des Status Ihres von Google verwalteten Zertifikats können Sie gcloud compute
-Befehle verwenden. Nachdem Sie den entsprechenden Befehl ausgeführt haben, beachten Sie Folgendes:
- Den verwalteten Status.
- Den Domainstatus.
Verwenden Sie zum Auflisten Ihrer von Google verwalteten SSL-Zertifikate den Befehl gcloud
compute ssl-certificates
list
mit dem Flag --global
.
gcloud compute ssl-certificates list \ --global
Sie können den Befehl gcloud compute ssl-certificates
describe
verwenden und CERTIFICATE_NAME
ersetzen:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global \ --format="get(name,managed.status, managed.domainStatus)"
Zu diesem Zeitpunkt sind der Zertifikatstatus und der Domainstatus PROVISIONING
.
Wenn Sie die Schritte auf dieser Seite ausgeführt haben, ändern sich die Status zu ACTIVE
.
Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.
Schritt 2: Load-Balancer erstellen oder aktualisieren
Um ACTIVE
zu werden, muss das von Google verwaltete SSL-Zertifikat einem Load-Balancer zugeordnet sein, und zwar dem Zielproxy des Load-Balancers.
Nachdem Sie das SSL-Zertifikat erstellt haben und es den Status PROVISIONING
hat, können Sie es während der Erstellung des Load-Balancers verwenden, wie in den folgenden Anleitungen beschrieben:
- Globalen externen Anwendungs-Load-Balancer mit einem Compute Engine-Backend einrichten
- Klassischen Anwendungs-Load-Balancer mit einem Compute Engine-Backend einrichten
- Externen Proxy-Netzwerk-Load-Balancer mit einem SSL-Proxy einrichten
Sie können auch einen vorhandenen Load-Balancer aktualisieren, wie hier beschrieben:
Console
Wenn Sie einen globalen externen Anwendungs-Load-Balancer oder einen externen Proxy-Netzwerk-Load-Balancer über die Google Cloud Console aktualisieren, verknüpft Google Cloud Ihr SSL-Zertifikat automatisch mit dem richtigen Zielproxy.
- Öffnen Sie in der Google Cloud Console die Seite Load-Balancing.
Gehe zu „Load-Balancing“ - Klicken Sie auf den Namen des Load-Balancers.
- Klicken Sie auf Bearbeiten .
- Klicken Sie auf Frontend-Konfiguration.
- Klicken Sie auf das richtige Frontend (muss HTTPS, HTTP/2, SSL sein).
- Klicken Sie auf Zusätzliche Zertifikate und wählen Sie Ihr von Google verwaltetes Zertifikat aus der Drop-down-Liste aus.
- Klicken Sie auf Erstellen.
gcloud
Wenn Sie ein SSL-Zertifikat mit dem Ziel-HTTPS-Proxy für einen globalen externen Anwendungs-Load-Balancer verknüpfen möchten, verwenden Sie den Befehl gcloud compute target-https-proxies update
mit den Flags --global-ssl-certificates
und --global
:
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_LIST \ --global-ssl-certificates \ --global
Wenn Sie ein SSL-Zertifikat mit dem SSL-Zielproxy für einen externen Proxy-Netzwerk-Load-Balancer verknüpfen möchten, verwenden Sie den Befehl gcloud compute target-ssl-proxies update
:
gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --ssl-certificates SSL_CERTIFICATE_LIST
Ersetzen Sie Folgendes:
TARGET_PROXY_NAME
: Der Name des Zielproxys des Load-BalancersSSL_CERTIFICATE_LIST
: Eine durch Kommas getrennte Liste von SSL-ZertifikatressourcenDie Liste der referenzierten Zertifikate muss alle älteren gültigen SSL-Zertifikate sowie das neue SSL-Zertifikat enthalten. Der Befehl
gcloud compute target-ssl-proxies update
überschreibt die ursprünglichen Werte für--ssl-certificates
durch den neuen Wert.
Terraform
Verwenden Sie zum Erstellen des Ziel-HTTPS-Proxys die Ressource google_compute_target_https_proxy
.
Verwenden Sie zum Erstellen des Ziel-SSL-Proxys die Ressource google_compute_target_ssl_proxy
.
Jeder HTTPS-Zielproxy oder SSL-Zielproxy muss auf mindestens ein SSL-Zertifikat verweisen. Ein Zielproxy kann auf mehr als ein SSL-Zertifikat verweisen. Weitere Informationen finden Sie unter Zielpools und Zielproxys in den Kontingenten und Limits für Load-Balancing-Ressourcen.
Schritt 3: Zielproxy-Verknüpfung prüfen
Nachdem Sie Ihren Load-Balancer erstellt oder aktualisiert haben, können Sie dafür sorgen, dass das SSL-Zertifikat dem Zielproxy des Load-Balancers zugeordnet ist.
Wenn Sie den Namen des Zielproxys nicht kennen, verwenden Sie gcloud compute target-https-proxies list
und gcloud compute target-ssl-proxies list
-Befehle zum Auflisten der Zielproxys in Ihrem Projekt.
Prüfen Sie die Verbindung zwischen dem SSL-Zertifikat und dem Zielproxy. Dazu führen Sie folgenden Befehl aus.
Für globale externe Anwendungs-Load-Balancer:
gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \ --global \ --format="get(sslCertificates)"
Für externe Proxy-Netzwerk-Load-Balancer:
gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \ --format="get(sslCertificates)"
Zu diesem Zeitpunkt lautet der Status Ihres von Google verwalteten Zertifikats möglicherweise noch PROVISIONING
. Google Cloud arbeitet mit der Zertifizierungsstelle zusammen, um das Zertifikat auszustellen. Die Bereitstellung eines von Google verwalteten Zertifikats kann bis zu 60 Minuten dauern.
Schritt 4: DNS-A- und AAAA-Einträge aktualisieren, sodass sie auf die IP-Adresse des Load-Balancers verweisen
Ihre DNS-Einträge können auf der Website Ihres Registrators, DNS-Hosts oder ISPs verwaltet werden.
Beachten Sie bei der Verwaltung Ihrer Einträge Folgendes:
Achten Sie darauf, dass DNS-A-Einträge (für IPv4) und DNS-AAAA-Einträge (für IPv6) für Ihre Domains und Subdomains auf die IP-Adresse verweisen, die der Weiterleitungsregel oder den Weiterleitungsregeln des Load-Balancers zugeordnet sind.
Zum Bereitstellen von SSL-Zertifikaten achten Sie darauf, dass A- und AAAA-Einträge auf die IP-Adresse des Load-Balancers in einem öffentlichen DNS verweisen.
Wenn Sie Cloud DNS verwenden, richten Sie Ihre Domains ein und aktualisieren Sie Ihre Nameserver.
Wenn Sie mehrere Domains in einem von Google verwalteten Zertifikat haben, fügen Sie DNS-Einträge für alle Domains und Subdomains hinzu oder aktualisieren Sie sie, sodass sie auf die IP-Adresse Ihres Load-Balancers verweisen. Die Zertifikatsüberprüfung schlägt fehl, wenn die Domains und Subdomains in einem von Google verwalteten Zertifikat auf eine andere IP-Adresse als die IP-Adresse der Weiterleitungsregel des Load Balancers verweisen.
Verwaltete Zertifikate lassen sich erfolgreich bereitstellen, wenn Folgendes zutrifft:
- Die DNS-Einträge Ihrer Domain verwenden einen CNAME-Eintrag, der auf eine andere Domain verweist.
- Die andere Domain enthält einen A- oder AAAA-Eintrag, der auf die IP-Adresse Ihres Load-Balancers verweist.
Sie können Ihre Einrichtung mit dem Befehl dig
prüfen. Angenommen, Ihre Domain ist www.example.com
. Führen Sie dazu diesen dig
-Befehl aus:
dig www.example.com
; <<>> DiG 9.10.6 <<>> www.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;www.example.com. IN A ;; ANSWER SECTION: www.example.com. 1742 IN CNAME example.net. example.net. 12 IN A 34.95.64.10 ;; Query time: 43 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Jun 03 16:54:44 PDT 2020 ;; MSG SIZE rcvd: 193
In diesem Beispiel ist 34.95.64.10
die IP-Adresse Ihres Load-Balancers.
DNS-Resolver im Internet unterliegen nicht der Kontrolle von Google Cloud. Sie speichern Ihre Ressourceneinträge entsprechend ihrer Gültigkeitsdauer (TTL) im Cache. Dies bedeutet, dass ein dig
- oder nslookup
-Befehl möglicherweise einen im Cache gespeicherten Wert zurückgibt. Wenn Sie Cloud DNS verwenden, finden Sie weitere Informationen unter Weitergabe von Änderungen.
Übernahmezeit für DNS-Einträge
Neu aktualisierte DNS-A- und AAAA-Einträge können sehr lange dauern, bis sie vollständig weitergegeben werden. Manchmal dauert die Übertragung im Internet bis zu 72 Stunden, obwohl es normalerweise nur ein paar Stunden dauert.
Führen Sie den folgenden Befehl noch einmal aus:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --format="get(managed.domainStatus)"
Wenn der Domainstatus FAILED_NOT_VISIBLE
lautet, ist die Weitergabe möglicherweise nicht abgeschlossen.
Ausführliche Informationen finden Sie im Abschnitt zum Status der von Google verwalteten SSL-Zertifikatsdomain auf der Seite zur Fehlerbehebung.
Schritt 5: Mit OpenSSL testen
Nachdem der Zertifikat- und Domainstatus aktiv ist, kann es bis zu 30 Minuten dauern, bis der Load-Balancer beginnt, Ihr von Google verwaltetes SSL-Zertifikat zu verwenden.
Führen Sie zum Testen den folgenden OpenSSL-Befehl aus. Ersetzen Sie dabei DOMAIN
durch Ihren DNS-Namen und IP_ADDRESS
durch die IP-Adresse Ihres Load-Balancers.
echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error
Dieser Befehl gibt die Zertifikate aus, die der Load-Balancer dem Client anbietet. Neben anderen detaillierten Informationen sollte die Ausgabe die Zertifikatskette und Verify return code: 0 (ok)
enthalten.
Zusätzliche Verfahren
Dieser Abschnitt enthält zusätzliche Verfahren zum Verwalten Ihrer Zertifikate.
Mehrere Domains mit einem von Google verwalteten SSL-Zertifikat unterstützen
Es werden mehrere alternative Antragstellernamen unterstützt. Jedes von Google verwaltete SSL-Zertifikat unterstützt bis zu der maximalen Anzahl an Domains pro von Google verwaltetem SSL-Zertifikat.
Wenn Sie mehr als die maximale Anzahl an Domains haben, müssen Sie mehrere von Google verwaltete Zertifikate anfragen. Wenn Sie beispielsweise versuchen, ein von Google verwaltetes Zertifikat mit (das Maximum + 1) Domains zu erstellen, stellt Google keine Zertifikate aus. Stattdessen müssen Sie zwei oder mehr von Google verwaltete Zertifikate erstellen und explizit angeben, welche Domains mit den einzelnen Zertifikaten verknüpft sind.
Google Cloud implementiert Server Name Indication (SNI) wie in RFC 6066 definiert.
Wenn eine der Domains oder Subdomains in einem verwalteten Zertifikat nicht auf die IP-Adresse des Load-Balancers oder auf eine IP-Adresse zusammen mit der IP des Load-Balancers verweist, schlägt der Verlängerungsprozess fehl. Achten Sie darauf, dass alle Ihre Domains und Subdomains auf die IP-Adresse des Load-Balancers verweisen, um Fehler bei der Verlängerung zu vermeiden.
Von Google verwaltetes SSL-Zertifikat verlängern
Google Cloud stellt verwaltete Zertifikate bereit, die 90 Tage lang gültig sind. Etwa ein Monat vor Ablauf beginnt automatisch der Prozess zur Verlängerung des Zertifikats. Dazu wird eine Zertifizierungsstelle (Certificate Authority, CA) ausgewählt, die sowohl im CAA-DNS-Eintrag Ihrer Domain als auch in der CA-Liste enthalten ist.
Für die Verlängerung wird möglicherweise eine andere Zertifizierungsstelle verwendet als die, mit der eine frühere Version Ihres von Google verwalteten Zertifikats ausgestellt wurde. Sie können die Zertifizierungsstelle bestimmen, die Google Cloud für Verlängerungen verwendet. Dafür muss der CAA-DNS-Eintrag (Certificate Authority Authorization) Ihrer Domain eine einzelne Zertifizierungsstelle aus der CA-Liste angeben, die die von Google verwalteten Zertifikate verwenden.
Wenn eine der Domains oder Subdomains in einem verwalteten Zertifikat nicht auf die IP-Adresse des Load-Balancers oder auf eine IP-Adresse zusammen mit der IP des Load-Balancers verweist, schlägt der Verlängerungsprozess fehl. Achten Sie darauf, dass alle Ihre Domains und Subdomains auf die IP-Adresse des Load-Balancers verweisen, um Fehler bei der Verlängerung zu vermeiden.
Die Zertifizierungsstellen angeben, die Ihr von Google verwaltetes Zertifikat ausstellen können
Wir empfehlen Ihnen, in Ihrer DNS-Software die CAs, denen Sie die Ausstellung Ihres von Google verwalteten Zertifikats erlauben möchten, explizit zu autorisieren. Obwohl dies nicht in jedem Szenario erforderlich ist, ist es in bestimmten Situationen notwendig.
Wenn Sie beispielsweise einen externen DNS-Dienst verwenden und Ihr von Google verwaltetes Zertifikat widerrufen wird, überprüft der Dienst möglicherweise nur ein neues Zertifikat, das von einer oder mehreren bestimmten CAs ausgestellt wird.
Erstellen oder ändern Sie dazu einen CAA-Eintrag so, dass pki.goog
, letsencrypt.org
oder beides enthalten ist. Wenn Sie keinen CAA-Eintrag haben, werden standardmäßig pki.goog
und letsencrypt.org
zugelassen.
DOMAIN. CAA 0 issue "pki.goog" DOMAIN. CAA 0 issue "letsencrypt.org"
Der Support für letsencrypt.org
-Zertifikate erfolgt auf Best-Effort-Basis. Die beste Zuverlässigkeit erzielen Sie, wenn Sie sowohl pki.goog
als auch letsencrypt.org
zulassen. Wenn Sie nur eine der CAs angeben, wird nur diese zum Erstellen und Erneuern des Zertifikats verwendet: Diese Vorgehensweise wird jedoch nicht empfohlen.
Wenn Sie Ihr Zertifikat erstellen, wählt Google Cloud entweder pki.goog
oder letsencrypt.org
aus und verwendet es, um Ihr Zertifikat auszustellen. Wenn Google Ihr Zertifikat verlängert, kann es von einer anderen Zertifizierungsstelle ausgestellt werden. Dies hängt von den Zertifizierungsstellen ab, die Sie im CAA-Eintrag angegeben haben (wenn Sie einen erstellt haben).
Ihr Zertifikat kann in den folgenden Fällen durch eine andere Zertifizierungsstelle verlängert werden:
- Sie haben keinen DNS-CAA-Eintrag für Ihre Domain.
- Sie haben beide Zertifizierungsstellen in den DNS-CAA-Eintrag aufgenommen.
Weitere Informationen finden Sie in den RFC, CAA-DNS-Eintrag.
letsencrypt.org
gibt internationalisierte Domainnamen (IDNs) aus. pki.goog
unterstützt derzeit keine IDNs.
Wenn Sie Cloud DNS verwenden, lernen Sie, wie Sie einen Eintrag hinzufügen und setzen Sie das Flag --type
auf CAA
.
Vorhandenes SSL-Zertifikat ersetzen
So ersetzen Sie ein vorhandenes SSL-Zertifikat:
Beginnen Sie mit dem Prozess zum Erstellen des von Google verwalteten SSL-Ersatzzertifikats. Dieses Zertifikat wird zu diesem Zeitpunkt nicht mehr AKTIV.
Aktualisieren Sie den Zielproxy, sodass die Liste der referenzierten Zertifikate das SSL-Ersatzzertifikat zusammen mit den aktuellen SSL-Zertifikaten enthält. Die Schritte zum Aktualisieren des Zielproxys unterscheiden sich so:
Warten Sie, bis die Bereitstellung des SSL-Ersatzzertifikats abgeschlossen ist. Dies kann bis zu 60 Minuten dauern. Nach Abschluss der Bereitstellung wird der Zertifikatsstatus in
ACTIVE
geändert.Warten Sie weitere 30 Minuten, bis das Ersatzzertifikat sicher für alle Google Front Ends (GFEs) verfügbar ist.
Aktualisieren Sie den Zielproxy, um das zu ersetzende SSL-Zertifikat aus der Liste der referenzierten Zertifikate zu entfernen. Die Schritte zum Aktualisieren eines Zielproxys unterscheiden sich so:
Warten Sie zehn Minuten und prüfen Sie, ob der Load-Balancer das SSL-Ersatzzertifikat anstelle des alten verwendet.
Aktualisieren Sie den Zielproxy noch einmal, indem Sie die alte SSL-Zertifikatsressource entfernen. Sie können die SSL-Zertifikatsressource löschen, wenn sie von keinem Zielproxy referenziert wird.
Wenn Sie das alte SSL-Zertifikat nicht löschen, bleibt es solange AKTIV, bis es abläuft.
Migration von selbstverwalteten SSL-Zertifikaten zu von Google verwalteten SSL-Zertifikaten
Wenn Sie einen Load-Balancer von der Verwendung selbstverwalteter SSL-Zertifikate zu von Google verwalteten SSL-Zertifikaten migrieren, müssen Sie die folgenden Schritte in dieser Reihenfolge ausführen:
- Erstellen Sie ein neues von Google verwaltetes Zertifikat.
- Ordnen Sie ein neues von Google verwaltetes Zertifikat dem richtigen Zielproxy zu, während die Zuordnung des Zielproxys zum vorhandenen selbstverwalteten Zertifikat beibehalten wird.
- Warten Sie bis der Status des von Google verwalteten Zertifikats
ACTIVE
ist. - Warten Sie 30 Minuten, bis das neue Zertifikat an die bereitstellenden Google Front Ends (GFEs) übertragen wurde.
- Aktualisieren Sie den Zielproxy noch einmal und entfernen Sie das selbstverwaltete Zertifikat. Sie können die Zertifikatsressource löschen, wenn sie von keinem Zielproxy referenziert wird.
SSL-Zertifikat löschen
Achten Sie vor dem Löschen eines SSL-Zertifikats darauf, dass kein HTTPS- oder SSL-Zielproxy auf dieses Zertifikat verweist. Dafür haben Sie die beiden folgenden Möglichkeiten:
Löschen Sie die Zielproxys, die auf dieses Zertifikat verweisen.
Aktualisieren Sie die Zielproxys, die auf dieses Zertifikat verweisen, um es auszuschließen. Die Schritte unterscheiden sich so:
So löschen Sie ein oder mehrere SSL-Zertifikate:
Console
Sie können globale SSL-Zertifikate auf dem Tab Klassische Zertifikate der Seite Zertifikatmanager löschen.
- Rufen Sie in der Google Cloud Console den Tab Klassische Zertifikate auf.
Zu den Klassischen Zertifikaten - Wählen Sie das SSL-Zertifikat aus, das Sie löschen möchten.
- Klicken Sie auf Löschen.
- Klicken Sie zur Bestätigung noch einmal auf Löschen.
gcloud
Verwenden Sie zum Löschen eines globalen SSL-Zertifikats (für globale externe Anwendungs-Load-Balancer oder externe Proxy-Netzwerk-Load-Balancer) den Befehl gcloud compute ssl-certificates
delete
mit dem Befehl --global
:
gcloud compute ssl-certificates delete CERTIFICATE_NAME \ --global
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: Der Name des SSL-Zertifikats.
Nächste Schritte
- Fehlerbehebung bei SSL-Zertifikaten
- Informationen zur Verwendung eines Terraform-Skripts, das ein von Google verwaltetes Zertifikat erstellt, finden Sie im Cloud Run-Beispiel auf der Seite Terraform-Modulbeispiele für externe Anwendungs-Load-Balancer.