Utiliser des certificats SSL gérés par Google

Cette page explique comment créer et utiliser des certificats SSL gérés par Google pour Compute Engine.

Pour créer des certificats gérés par Google à l'aide du gestionnaire de certificats, consultez la section Présentation du déploiement.

Les certificats SSL gérés par Google sont des certificats de validation de domaine (DV) queGoogle Cloud obtient et gère pour vos domaines. Ils acceptent plusieurs noms d'hôte dans chaque certificat, et Google les renouvelle automatiquement.

Les certificats gérés par Google sont compatibles avec les équilibreurs de charge suivants :

• Équilibreur de charge d'application externe global
• Équilibreur de charge d'application classique
• Équilibreur de charge réseau proxy externe (avec proxy SSL cible)

Les certificats SSL Compute Engine gérés par Google ne sont pas compatibles avec les équilibreurs de charge d'application externes régionaux, les équilibreurs de charge d'application internes régionaux ni les équilibreurs de charge d'application internes interrégionaux. Pour ces équilibreurs de charge, vous pouvez utiliser des certificats SSL Compute Engine autogérés ou envisager d'utiliser le gestionnaire de certificats à la place.

Vous pouvez également utiliser des certificats SSL gérés avec Google Kubernetes Engine. Pour en savoir plus, consultez la page Utiliser des certificats SSL gérés par Google.

Vous pouvez créer un certificat géré par Google avant, pendant ou après la création de votre équilibreur de charge. Cette page suppose que vous créez le certificat Compute Engine avant ou après la création de l'équilibreur de charge, mais pas pendant. Pour créer le certificat lors de la création de votre équilibreur de charge, consultez les procédures des guides pratiques sur les équilibreurs de charge.

Avant de commencer

• Assurez-vous de bien prendre connaissance de la présentation des certificats SSL.
• Assurez-vous de disposer des noms de domaine que vous souhaitez utiliser pour votre certificat SSL géré par Google. Si vous utilisez Cloud Domains, consultez la page Enregistrer un domaine.

• Assurez-vous d'avoir activé l'API Compute Engine pour votre projet.

  Activer l'API Compute Engine

Autorisations

Pour suivre ce guide, vous devez être en mesure de créer et modifier des certificats SSL dans votre projet. Pour ce faire, vous devez remplir l'une des conditions suivantes :

• Vous êtes propriétaire ou éditeur (roles/owner ou roles/editor) du projet.
• Vous disposez à la fois du rôle d'administrateur de sécurité Compute (compute.securityAdmin) et du rôle d'administrateur réseau Compute (compute.networkAdmin) dans le projet.
• Vous disposez d'un rôle personnalisé pour le projet qui inclut les autorisations compute.sslCertificates.*, ainsi que compute.targetHttpsProxies.* et/ou compute.targetSslProxies.*, selon le type d'équilibreur de charge que vous utilisez.

1. Créer un certificat SSL géré par Google

Vous pouvez créer un certificat géré par Google avant, pendant ou après la création de votre équilibreur de charge. Au cours du processus de création d'un équilibreur de charge dans la console Google Cloud, vous pouvez utiliser cet outil pour créer votre certificat. Vous pouvez également créer votre certificat avant ou après la création de votre équilibreur de charge. Cette étape vous montre comment créer un certificat que vous pourrez ensuite ajouter à un ou plusieurs équilibreurs de charge.

Si vous avez déjà créé votre certificat SSL géré par Google, vous pouvez ignorer cette étape.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Vérifier l'état d'un certificat SSL géré par Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

À ce stade, l'état du certificat et l'état du domaine affichent PROVISIONING. Une fois que vous aurez effectué la procédure sur cette page, les états seront remplacés par ACTIVE.

Pour plus d'informations sur les états, consultez la page de dépannage.

Étape 2 : Créer ou mettre à jour l'équilibreur de charge

Pour passer à l'état ACTIVE, le certificat SSL géré par Google doit être associé à un équilibreur de charge, à savoir son proxy cible.

Une fois que vous avez créé votre certificat SSL et qu'il est à l'état PROVISIONING, vous pouvez vous en servir lors de la création de votre équilibreur de charge, comme décrit dans les guides d'utilisation suivants :

• Configurer un équilibreur de charge d'application externe global avec un backend Compute Engine.
• Configurer un équilibreur de charge d'application classique avec un backend Compute Engine.
• Configurer un équilibreur de charge réseau proxy externe avec un proxy SSL

Vous pouvez également l'utiliser pour mettre à jour un équilibreur de charge existant, comme décrit ici :

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Chaque proxy HTTPS ou SSL cible doit référencer au moins un certificat SSL. Un proxy cible peut faire référence à plusieurs certificats SSL. Pour en savoir plus, consultez la section Pools cibles et proxys cibles dans la documentation sur les quotas et les limites des ressources d'équilibrage de charge.

Étape 3 : Vérifier l'association du proxy cible

Après avoir créé ou mis à jour votre équilibreur de charge, vous pouvez vérifier que le certificat SSL est associé au proxy cible de votre équilibreur de charge.

Si vous ne connaissez pas déjà le nom du proxy cible, utilisez les commandes gcloud compute target-https-proxies list et gcloud compute target-ssl-proxies list pour répertorier les proxys cibles dans votre projet.

Vérifiez l'association entre le certificat SSL et le proxy cible en exécutant la commande suivante.

Pour les équilibreurs de charge d'application externes globaux :

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Pour les équilibreurs de charge réseau proxy externes :

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

À ce stade, l'état de votre certificat géré par Google peut toujours être PROVISIONING. Google Cloud travaille avec l'autorité de certification pour émettre le certificat. Le provisionnement d'un certificat géré par Google peut prendre jusqu'à 60 minutes.

Étape 4 : Mettre à jour les enregistrements DNS A et AAAA pour pointer vers l'adresse IP de l'équilibreur de charge

Vos enregistrements DNS peuvent être gérés au niveau du site de votre bureau d'enregistrement, de votre hôte DNS ou de votre FAI.

Lorsque vous gérez vos enregistrements, tenez compte des points suivants :

• Assurez-vous que les enregistrements DNS A (pour IPv4) et DNS AAAAA (pour IPv6) pour vos domaines et tous vos sous-domaines pointent vers l'adresse IP associée à la ou aux règles de transfert de l'équilibreur de charge.

  Pour provisionner des certificats SSL, assurez-vous que les enregistrements A et AAAA pointent vers l'adresse IP de l'équilibreur de charge dans un DNS public.

• Si vous utilisez Cloud DNS, configurez vos domaines et mettez à jour vos serveurs de noms.

• Si vous disposez de plusieurs domaines dans un certificat géré par Google, ajoutez ou mettez à jour les enregistrements DNS de tous les domaines et sous-domaines pour qu'ils pointent vers l'adresse IP de votre équilibreur de charge. La validation du certificat échoue si les domaines et sous-domaines d'un certificat géré par Google pointent vers une autre adresse IP que celle de la règle de transfert de l'équilibreur de charge.

• Assurez-vous que votre fournisseur DNS répond de manière cohérente à toutes les requêtes de validation de domaine global.

Les certificats gérés sont correctement provisionnés lorsque les conditions suivantes sont remplies :

• Les enregistrements DNS de votre domaine utilisent un enregistrement CNAME qui pointe vers un autre domaine.
• L'autre domaine contient un enregistrement A ou AAAA qui pointe vers l'adresse IP de votre équilibreur de charge.

Vous pouvez vérifier votre configuration en exécutant la commande dig. Par exemple, supposons que votre domaine soit www.example.com. Exécutez la commande dig suivante :

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

Dans cet exemple, 34.95.64.10 correspond à l'adresse IP de votre équilibreur de charge.

Les résolveurs DNS sur Internet ne relèvent pas du contrôle deGoogle Cloud. Ils mettent en cache vos jeux d'enregistrements de ressources en fonction de leurs propres valeurs TTL (Time To Live), ce qui signifie qu'une commande dig ou nslookup peut renvoyer une valeur mise en cache. Si vous utilisez Cloud DNS, consultez la section Propagation des modifications.

Temps de propagation des enregistrements DNS

La propagation complète des enregistrements DNS A et AAAA récemment mis à jour peut prendre beaucoup de temps. La propagation sur Internet peut parfois prendre jusqu'à 72 heures dans le monde entier, même si cela prend généralement quelques heures.

Exécutez à nouveau la commande suivante :

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Si l'état de votre domaine est FAILED_NOT_VISIBLE, il est possible que la propagation ne soit pas terminée.

Pour en savoir plus, consultez la section État du domaine du certificat SSL géré par Google sur la page Dépannage.

Validation de domaine multiperspective

Google Cloud renouvelle régulièrement vos certificats gérés par Google, en les demandant aux autorités de certification. Les autorités de certification avec lesquellesGoogle Cloud fonctionne pour renouveler vos certificats utilisent une méthode de validation de domaine multiperspective appelée Multi-Perspective Issuance Corroboration (MPIC). Dans le cadre de ce processus, les autorités de certification valident le contrôle du domaine en vérifiant les paramètres DNS du domaine et, dans certains cas, en essayant de contacter le serveur derrière l'adresse IP du domaine. Ces vérifications sont effectuées à partir de plusieurs points de vue sur Internet. Si le processus de validation échoue, les certificats gérés par Google ne sont pas renouvelés. Par conséquent, votre équilibreur de charge fournit un certificat expiré aux clients, ce qui entraîne des erreurs de certificat pour les utilisateurs de navigateurs et des échecs de connexion pour les clients d'API.

Pour éviter les échecs de validation de domaine multiperspective pour les enregistrements DNS mal configurés, notez les points suivants:

• Vos enregistrements DNS A (IPv4) et DNS AAAA (IPv6) pour vos domaines et tous vos sous-domaines pointent uniquement vers l'adresse IP (ou les adresses IP) associée à la ou aux règles de transfert de l'équilibreur de charge. L'existence d'autres adresses dans l'enregistrement peut entraîner l'échec de la validation.
• L'autorité de certification, qui valide les enregistrements DNS, interroge les enregistrements DNS à partir de plusieurs emplacements. Assurez-vous que votre fournisseur DNS répond de manière cohérente à toutes les requêtes de validation de domaine global.
• L'utilisation de GeoDNS (qui renvoie différentes adresses IP en fonction de l'emplacement de la requête) ou de règles DNS basées sur la localisation peut entraîner des réponses incohérentes et l'échec de la validation. Si votre fournisseur DNS utilise GeoDNS, désactivez-le ou assurez-vous que toutes les régions renvoient l'adresse IP du même équilibreur de charge.
• Vous devez spécifier explicitement les adresses IP de votre équilibreur de charge dans votre configuration DNS. Les couches intermédiaires, telles qu'un CDN, peuvent entraîner un comportement imprévisible. L'adresse IP doit être directement accessible sans redirection, pare-feu ni CDN dans le chemin de la requête. Pour en savoir plus, consultez la section Équilibreurs de charge derrière un CDN de ce document.
• Nous vous recommandons d'utiliser un vérificateur de propagation DNS mondial de votre choix pour vérifier que tous les enregistrements DNS pertinents sont résolus correctement et de manière cohérente dans le monde entier.

Vérifier les modifications de configuration

Une fois que vous avez configuré vos enregistrements DNS, vous pouvez vérifier qu'ils sont corrects en créant un certificat et en l'associant à votre équilibreur de charge avec le certificat existant. Cette étape force une vérification immédiate du provisionnement de certificat auprès de l'autorité de certification, ce qui vous permet de vérifier les modifications de votre configuration en quelques minutes. Sans cela, le renouvellement automatique du certificat existant peut prendre des jours ou des semaines, ce qui laisse planer le doute sur votre configuration.

Si l'état du certificat devient ACTIVE, cela signifie que le certificat a été émis, ce qui confirme que votre configuration DNS est correcte. À ce stade, nous vous recommandons de supprimer le certificat précédent pour éviter d'avoir deux certificats distincts pour le même domaine. Ce processus n'interrompt pas le trafic vers votre équilibreur de charge.

Le nouveau certificat sert d'outil de validation. Sa création confirme que la validation multiperspective du domaine à l'aide de MPIC fonctionne correctement pour votre configuration.

Équilibreurs de charge derrière un CDN

Pour les équilibreurs de charge sur lesquels le CDN est activé, certains fournisseurs CDN tiers dans le chemin de requête peuvent empêcher la réussite des requêtes de validation. Cela peut se produire si le fournisseur CDN transmet activement le trafic HTTP(S) au proxy.

Dans ce cas, nous vous recommandons de migrer vos certificats vers le Gestionnaire de certificats et d'utiliser la méthode d'autorisation DNS pour provisionner des certificats gérés par Google. Cette dernière approche ne nécessite pas que l'autorité de certification contacte votre équilibreur de charge.

Étape 5 : Effectuer un test avec OpenSSL

Une fois que l'état du certificat et du domaine est actif, votre équilibreur de charge peut prendre jusqu'à 30 minutes pour commencer à utiliser le certificat SSL géré par Google.

Pour effectuer un test, exécutez la commande OpenSSL suivante, en remplaçant DOMAIN par votre nom DNS et IP_ADDRESS par l'adresse IP de votre équilibreur de charge.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Cette commande génère les certificats que l'équilibreur de charge présente au client. Le résultat doit inclure la chaîne de certificats et Verify return code: 0 (ok) en plus d'autres informations détaillées.

Consignes supplémentaires

Cette section contient des procédures facultatives pour gérer vos certificats.

Prise en charge de plusieurs domaines avec un certificat SSL géré par Google

Plusieurs noms d'objets de remplacement sont acceptés. Chaque certificat SSL géré par Google accepte jusqu'au nombre maximal de domaines par certificat SSL géré par Google.

Si vous disposez d'un nombre de domaines supérieur à cette limite, vous devez demander plusieurs certificats gérés par Google. Par exemple, si vous essayez de créer un certificat géré par Google contenant un domaine de plus que le nombre maximal de domaines, Google ne délivre aucun certificat. Vous devez créer au moins deux certificats gérés par Google et indiquer explicitement les domaines associés à chaque certificat.

Google Cloud met en œuvre l'indication du nom du serveur (SNI, Server Name Indication), telle que définie dans la RFC 6066.

Pour vous assurer que vos certificats ne échouent pas à l'étape de validation du domaine du processus de renouvellement, consultez les exigences concernant vos enregistrements DNS A et AAAA.

Renouveler un certificat SSL géré par Google

Google Cloud provisionne des certificats gérés valides pour une durée de 90 jours. Environ un mois avant expiration, le processus de renouvellement du certificat commence automatiquement. À cette fin, une autorité de certification est choisie à la fois dans l'enregistrement DNS d'autorisation de l'autorité de certification (CAA) de votre domaine et dans la liste des autorités de certification.

L'autorité de certification utilisée pour le renouvellement peut être différente de l'autorité de certification utilisée afin d'émettre une version précédente de votre certificat géré par Google. Vous pouvez vérifier de quelle autorité de certification se sertGoogle Cloud lors du renouvellement. Pour cela, vous devez vous assurer que l'enregistrement DNS CAA de votre domaine utilise une autorité de certification unique issue de la liste approuvée pour les certificats gérés par Google.

Pour vous assurer que vos certificats ne échouent pas à l'étape de validation du domaine du processus de renouvellement, consultez les exigences concernant vos enregistrements DNS A et AAAA.

Spécifier les autorités de certification qui peuvent émettre un certificat géré par Google

Dans votre logiciel DNS, nous vous recommandons d'autoriser explicitement les autorités de certification que vous souhaitez autoriser à émettre votre certificat géré par Google. Bien que cela ne soit pas obligatoire dans tous les scénarios, cela est nécessaire dans certaines situations.

Par exemple, si vous utilisez un service DNS externe et que votre certificat géré par Google est révoqué, le service peut uniquement valider un nouveau certificat émis par une ou plusieurs autorités de certification spécifiques.

Pour ce faire, créez ou modifiez un enregistrement CAA pour inclure pki.goog, letsencrypt.org ou les deux. Si vous n'avez pas d'enregistrement CAA, le comportement par défaut consiste à autoriser à la fois pki.goog et letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

La compatibilité des certificats letsencrypt.org est fournie de la manière la plus optimale. Pour une meilleure fiabilité, autorisez à la fois pki.goog et letsencrypt.org. Si vous spécifiez une seule autorité de certification, celle-ci est utilisée pour créer et renouveler votre certificat : Cette approche n'est pas recommandée.

Lorsque vous créez votre certificat pour la première fois, Google Cloud sélectionne pki.goog ou letsencrypt.org et l'utilise pour émettre votre certificat. Lorsque Google renouvelle votre certificat, celui-ci peut être émis par l'autre autorité de certification, en fonction des autorités de certification que vous avez spécifiées dans l'enregistrement CAA (le cas échéant). Le certificat peut être renouvelé par une autre autorité de certification dans les cas suivants :

• Vous n'avez pas d'enregistrement CAA DNS pour votre domaine.
• Vous avez inclus les deux autorités de certification dans l'enregistrement CAA DNS.

Pour plus d'informations, reportez-vous au document RFC Enregistrement CAA DNS.

letsencrypt.org génère des noms de domaine internationalisés (IDN). pki.goog n'est actuellement pas compatible avec les IDN.

Si vous utilisez Cloud DNS, apprenez comment ajouter un enregistrement et assurez-vous de définir l'option --type sur CAA.

Remplacer un certificat SSL existant

Pour remplacer un certificat SSL existant, procédez comme suit :

1. Démarrez le processus de création du certificat SSL de remplacement géré par Google. Le certificat ne devient pas actif à ce stade.

2. Mettez à jour le proxy cible afin que la liste des certificats référencés comprenne le certificat SSL de remplacement ainsi que les certificats SSL actuels. Les étapes de mise à jour du proxy cible varient comme suit :

   • Mettre à jour un proxy HTTPS cible
   • Mettre à jour un proxy SSL cible

3. Attendez que le certificat SSL de remplacement termine le provisionnement. Le provisionnement peut prendre jusqu'à 60 minutes. Une fois le provisionnement terminé, l'état du certificat passe à ACTIVE.

4. Attendez 30 minutes de plus pour vous assurer que le certificat de remplacement est disponible pour tous les Google Front End (GFE).

5. Mettez à jour le proxy cible pour supprimer le certificat SSL à remplacer de la liste des certificats référencés. Les étapes de mise à jour du proxy cible varient comme suit :

   • Mettre à jour un proxy HTTPS cible
   • Mettre à jour un proxy SSL cible

6. Attendez 10 minutes et vérifiez que l'équilibreur de charge utilise le certificat SSL de remplacement au lieu de l'ancien.

7. Mettez à nouveau à jour le proxy cible en supprimant l'ancienne ressource de certificat SSL. Vous pouvez supprimer la ressource de certificat SSL si elle n'est plus référencée par un proxy cible.

Si vous ne supprimez pas l'ancien certificat SSL, il reste actif jusqu'à son expiration.

Migrer des certificats SSL autogérés vers des certificats SSL gérés par Google

Lorsque vous migrez un équilibreur de charge pour qu'il utilise des certificats SSL gérés par Google au lieu de certificats SSL autogérés, procédez comme suit dans l'ordre indiqué :

1. Créez un certificat géré par Google.
2. Associez le nouveau certificat géré par Google au proxy cible adéquat, tout en conservant l'association du proxy cible au certificat autogéré existant.
3. Attendez que le certificat géré par Google passe à l'état ACTIVE.
4. Attendez 30 minutes que le nouveau certificat Google se propage aux GFE en charge de la diffusion.
5. Mettez à nouveau à jour le proxy cible en supprimant la ressource de certificat autogéré. Vous pouvez supprimer la ressource de certificat SSL autogéré si elle n'est plus référencée par un proxy cible.

Supprimer un certificat SSL

Avant de supprimer un certificat SSL, assurez-vous qu'aucun proxy cible HTTPS ou SSL ne fait référence à ce certificat. Pour cela, vous avez le choix entre deux méthodes :

• Supprimez les proxys cibles qui référencent ce certificat.

• Mettez à jour les proxys cibles qui référencent ce certificat afin de l'exclure. Les étapes varient comme suit :

  • Mettre à jour un proxy HTTPS cible.
  • Mettre à jour un proxy SSL cible.

Pour supprimer un ou plusieurs certificats SSL, procédez comme suit :

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Étapes suivantes

• Pour dépanner des certificats SSL, consultez la page Résoudre les problèmes liés aux certificats SSL.
• Pour utiliser un script Terraform qui crée un certificat géré par Google, consultez l'exemple Cloud Run sur les exemples de modules Terraform pour les équilibreurs de charge d'application externes.