Utilizza certificati SSL autogestiti

I certificati SSL autogestiti sono certificati che ottieni, di cui esegui il provisioning e rinnovati. Puoi usare questa risorsa per proteggere le comunicazioni tra i client e il bilanciatore del carico.

I certificati autogestiti possono essere una combinazione qualsiasi dei seguenti tipi di certificati:

  • Convalida del dominio (DV)
  • Convalida dell'organizzazione (OV)
  • Convalida estesa (EV)

I certificati autogestiti sono supportati con i seguenti bilanciatori del carico:

  • Certificati globali
    • Bilanciatore del carico delle applicazioni esterno globale
    • Bilanciatore del carico delle applicazioni classico
    • Bilanciatore del carico di rete proxy esterno (con un proxy SSL di destinazione)
  • Certificati a livello di regione
    • Bilanciatore del carico delle applicazioni esterno regionale
    • Bilanciatore del carico delle applicazioni interno

In questa pagina viene descritto il processo per ottenere un certificato Compute Engine valido e per caricare il certificato per creare una risorsa del certificato SSL di Google Cloud.

Per creare certificati gestiti da Google utilizzando Gestore certificati, consulta Panoramica del deployment.

Prima di iniziare

Autorizzazioni

Per eseguire le attività descritte in questa guida, devi essere in grado di creare e modificare i certificati SSL nel tuo progetto. Puoi farlo se una delle seguenti condizioni è vera:

Passaggio 1: crea una chiave privata e un certificato

Se hai già una chiave privata e un certificato di un'autorità di certificazione (CA), salta questa sezione e vai a Creazione di una risorsa del certificato SSL.

Seleziona o crea una chiave privata

Un certificato SSL di Google Cloud include sia una chiave privata sia il certificato stesso, entrambi in formato PEM. La chiave privata deve soddisfare i seguenti criteri:

  • Il video deve essere in formato PEM.
  • Non può essere protetto da una passphrase. Google Cloud archivia la tua chiave privata nel proprio formato criptato.
  • L'algoritmo di crittografia deve essere RSA-2048 o ECDSA P-256.

Per creare una nuova chiave privata, utilizza uno dei seguenti comandi OpenSSL.

  • Crea una chiave privata RSA-2048:

    openssl genrsa -out PRIVATE_KEY_FILE 2048

  • Crea una chiave privata ECDSA P-256:

    openssl ecparam -name prime256v1 -genkey -noout -out PRIVATE_KEY_FILE

Sostituisci PRIVATE_KEY_FILE con il percorso e il nome file del nuovo file della chiave privata.

Creare una richiesta di firma del certificato (CSR)

Dopo aver creato una chiave privata, puoi generare una richiesta di firma del certificato (CSR) in formato PEM utilizzando OpenSSL. Il tuo CSR deve soddisfare i seguenti criteri:

  • Deve essere in formato PEM.
  • Deve avere un nome comune (CN) o un attributo nome alternativo del soggetto (SAN). In pratica, il certificato deve contenere entrambi gli attributi CN e SAN, anche se è per un singolo dominio. I client moderni, come le versioni attuali di macOS e iOS, non si basano sul solo attributo CN.

Per creare un CSR, segui questi passaggi:

  1. Crea un file di configurazione OpenSSL. Nell'esempio seguente, i nomi alternativi dei soggetti sono definiti in [sans_list].

    cat <<'EOF' >CONFIG_FILE
[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements
prompt                    = no

[extension_requirements]
basicConstraints          = CA:FALSE
keyUsage                  = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName            = @sans_list

[dn_requirements]
countryName               = Country Name (2 letter code)
stateOrProvinceName       = State or Province Name (full name)
localityName              = Locality Name (eg, city)
0.organizationName        = Organization Name (eg, company)
organizationalUnitName    = Organizational Unit Name (eg, section)
commonName                = Common Name (e.g. server FQDN or YOUR name)
emailAddress              = Email Address

[sans_list]
DNS.1                     = SUBJECT_ALTERNATIVE_NAME_1
DNS.2                     = SUBJECT_ALTERNATIVE_NAME_2

EOF

  2. Esegui questo comando OpenSSL per creare un file di richiesta di firma del certificato (CSR). Il comando è interattivo. Ti vengono richiesti gli attributi, ad eccezione dei nomi alternativi degli oggetti, che hai definito nella sezione [sans_list] di CONFIG_FILE nel passaggio precedente.

    openssl req -new -key PRIVATE_KEY_FILE \
    -out CSR_FILE \
    -config CONFIG_FILE

Per entrambi i passaggi, sostituisci quanto segue:

  • CONFIG_FILE: il percorso, incluso il nome, del file di configurazione OpenSSL (puoi eliminare il file dopo aver completato questa procedura)

  • SUBJECT_ALTERNATIVE_NAME_1 e SUBJECT_ALTERNATIVE_NAME_2: nomi alternativi dei soggetti per il tuo certificato

    Se il certificato è per un solo nome host, devi definire un solo nome alternativo del soggetto che corrisponda al nome comune. Se hai bisogno di più di due nomi alternativi dei soggetti, aggiungili al file di configurazione, incrementando il numero dopo DNS (DNS.3, DNS.4 e così via).

  • PRIVATE_KEY_FILE: percorso del file della chiave privata

  • CSR_FILE: il percorso, incluso il nome del file, per la richiesta di firma del certificato (CSR)

Firma il CSR

Quando un'autorità di certificazione (CA) firma la CSR, utilizza la propria chiave privata per creare un certificato. Per firmare la richiesta di firma del certificato, utilizza uno dei seguenti metodi:

Utilizza una CA attendibile pubblicamente

Se richiedi a un'autorità di certificazione attendibile pubblicamente di firmare la richiesta CSR, il certificato risultante sarà considerato attendibile da tutti i client che considerano attendibile la CA pubblica. Per produrre un certificato firmato, la CA pubblica ha bisogno solo della tua richiesta CSR.

Utilizza la tua CA interna

Se gestisci la tua CA, puoi utilizzarla per firmare la richiesta di firma del certificato. L'utilizzo dell'autorità di certificazione per firmare la richiesta CSR crea un certificato attendibile internamente se anche i client sono stati configurati in modo da considerare attendibile la propria CA.

Utilizza un certificato autofirmato

Se utilizzi la stessa chiave privata che hai utilizzato per creare la richiesta di firma del certificato per firmare quest'ultima, avrai creato un certificato autofirmato. Utilizza solo certificati autofirmati per i test.

Google Cloud non supporta la verifica lato client per i certificati server autofirmati. Di conseguenza, devi configurare il client in modo da saltare la convalida dei certificati. Ad esempio, puoi creare un client browser web che visualizzi un messaggio che ti chiede se vuoi considerare attendibile un certificato autofirmato.

Se gestisci autonomamente la tua CA o vuoi creare un certificato autofirmato per i test, puoi utilizzare il seguente comando OpenSSL:

openssl x509 -req \
    -signkey PRIVATE_KEY_FILE \
    -in CSR_FILE \
    -out CERTIFICATE_FILE \
    -extfile CONFIG_FILE \
    -extensions extension_requirements \
    -days TERM

Sostituisci quanto segue:

  • PRIVATE_KEY_FILE: il percorso della chiave privata per la tua CA; se stai creando un certificato autofirmato per il test, questa chiave privata è la stessa utilizzata per creare la richiesta di firma del certificato (CSR)
  • CSR_FILE: il percorso del CSR
  • CERTIFICATE_FILE: il percorso del file del certificato da creare
  • TERM: il numero di giorni, a partire da ora, durante i quali il certificato deve essere considerato valido dai client che lo verificano

Caratteri jolly nei nomi comuni

I tuoi certificati SSL autogestiti possono utilizzare un carattere jolly nel nome comune. Ad esempio, un certificato con il nome comune *.example.com. corrisponde ai host www.example.com e foo.example.com, ma non a a.b.example.com o example.com. Quando il bilanciatore del carico seleziona un certificato, preferisce sempre associare un nome host ai certificati senza caratteri jolly anziché ai certificati con caratteri jolly.

I certificati con frammenti di caratteri jolly, come f*.example.com, non sono supportati.

Passaggio 2: crea una risorsa del certificato SSL autogestito

Prima di poter creare una risorsa certificato SSL Google Cloud, devi disporre di una chiave privata e di un certificato. Fai riferimento a Creazione di una chiave privata e di un certificato, se non li hai già creati o ottenuti.

Dopo aver creato un certificato, non puoi modificarne l'ambito da globale a regionale oppure da regionale a globale.

Console

Puoi utilizzare i certificati SSL globali nella scheda Certificati classici della console Google Cloud. Impossibile creare certificati SSL a livello di regione nella console Google Cloud. Utilizza gcloud o l'API REST.

  1. Vai alla scheda Certificato classico nella console Google Cloud.
    Vai ai certificati classici
  2. Fai clic su Crea certificato SSL.
  3. Inserisci un nome e una descrizione facoltativa per il certificato.
  4. Seleziona Carica il mio certificato.
  5. Incolla il certificato o fai clic su Carica per passare al file del certificato.
    Puoi scegliere di includere la catena di certificati CA nello stesso file del certificato. Google Cloud non convalida la catena di certificati al posto tuo: la convalida è una tua responsabilità.
  6. Incolla la chiave privata o fai clic su Carica per passare al file della chiave privata.
  7. Fai clic su Crea.

gcloud

Per creare un certificato SSL globale, utilizza il comando gcloud compute ssl-certificates create con il flag --global:

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --certificate=CERTIFICATE_FILE \
    --private-key=PRIVATE_KEY_FILE \
    --global

Per creare un certificato SSL a livello di regione, utilizza il comando gcloud compute ssl-certificates create con il flag --region:

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --certificate=CERTIFICATE_FILE \
    --private-key=PRIVATE_KEY_FILE \
    --region=REGION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome della risorsa del certificato globale da creare

  • CERTIFICATE_FILE: il percorso di un file di certificato in formato PEM

    Puoi scegliere di includere la catena di certificati CA nello stesso file del certificato. Google Cloud non convalida la catena di certificati al tuo posto. La convalida è una tua responsabilità.

  • PRIVATE_KEY_FILE: il percorso di una chiave privata in formato PEM; la chiave privata non può essere protetta da una passphrase

  • REGION: se applicabile, la regione per il certificato SSL a livello di regione

    Se questa risorsa di certificato è per un bilanciatore del carico delle applicazioni interno o un bilanciatore del carico delle applicazioni esterno regionale, la regione deve essere la stessa del bilanciatore del carico.

API

Per utilizzare i metodi dell'API, devi prima leggere i file del certificato e della chiave privata, poiché la richiesta API deve inviare i contenuti dei file.

Leggi il certificato e i file della chiave privata, quindi crea il certificato SSL. I seguenti esempi mostrano come eseguire questa operazione con Python.

Per i certificati SSL globali, utilizza il metodo API sslCertificates.insert:

from pathlib import Path
from pprint import pprint
from typing import Union

from googleapiclient import discovery


def create_certificate(
    project_id: str,
    certificate_file: Union[str, Path],
    private_key_file: Union[str, Path],
    certificate_name: str,
    description: str = "Certificate created from a code sample.",
) -> dict:
    """
    Create a global SSL self-signed certificate within your Google Cloud project.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        certificate_file: path to the file with the certificate you want to create in your project.
        private_key_file: path to the private key you used to sign the certificate with.
        certificate_name: name for the certificate once it's created in your project.
        description: description of the certificate.

    Returns:
        Dictionary with information about the new global SSL self-signed certificate.
    """
    service = discovery.build("compute", "v1")

    # Read the cert into memory
    with open(certificate_file) as f:
        _temp_cert = f.read()

    # Read the private_key into memory
    with open(private_key_file) as f:
        _temp_key = f.read()

    # Now that the certificate and private key are in memory, you can create the
    # certificate resource
    ssl_certificate_body = {
        "name": certificate_name,
        "description": description,
        "certificate": _temp_cert,
        "privateKey": _temp_key,
    }
    request = service.sslCertificates().insert(
        project=project_id, body=ssl_certificate_body
    )
    response = request.execute()
    pprint(response)
    return response

Per i certificati SSL a livello di regione, utilizza il metodo API regionSslCertificates.insert:

from pathlib import Path
from pprint import pprint
from typing import Union

from googleapiclient import discovery


def create_regional_certificate(
    project_id: str,
    region: str,
    certificate_file: Union[str, Path],
    private_key_file: Union[str, Path],
    certificate_name: str,
    description: str = "Certificate created from a code sample.",
) -> dict:
    """
    Create a regional SSL self-signed certificate within your Google Cloud project.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        region: name of the region you want to use.
        certificate_file: path to the file with the certificate you want to create in your project.
        private_key_file: path to the private key you used to sign the certificate with.
        certificate_name: name for the certificate once it's created in your project.
        description: description of the certificate.

        Returns:
        Dictionary with information about the new regional SSL self-signed certificate.
    """
    service = discovery.build("compute", "v1")

    # Read the cert into memory
    with open(certificate_file) as f:
        _temp_cert = f.read()

    # Read the private_key into memory
    with open(private_key_file) as f:
        _temp_key = f.read()

    # Now that the certificate and private key are in memory, you can create the
    # certificate resource
    ssl_certificate_body = {
        "name": certificate_name,
        "description": description,
        "certificate": _temp_cert,
        "privateKey": _temp_key,
    }
    request = service.regionSslCertificates().insert(
        project=project_id, region=region, body=ssl_certificate_body
    )
    response = request.execute()
    pprint(response)

    return response

Per altri esempi di codice, consulta la pagina di riferimento API.

Passaggio 3: associa un certificato SSL a un proxy di destinazione

Devi associare almeno un certificato SSL a ciascun proxy HTTPS o SSL di destinazione. Puoi configurare il proxy di destinazione con il numero massimo di certificati SSL per HTTPS o proxy SSL di destinazione. Puoi fare riferimento a più certificati autogestiti sullo stesso proxy di destinazione.

Console

Quando utilizzi la console Google Cloud per modificare un bilanciatore del carico esistente, associ automaticamente il certificato SSL al proxy di destinazione appropriato.

gcloud

Per associare un certificato SSL globale a un proxy HTTPS di destinazione, utilizza il comando gcloud compute target-https-proxies update con i flag --global e --global-ssl-certificates:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --global \
    --ssl-certificates=SSL_CERTIFICATE_LIST \
    --global-ssl-certificates

Per associare un certificato SSL globale a un proxy SSL di destinazione, utilizza il comando gcloud compute target-ssl-proxies update:

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates=SSL_CERTIFICATE_LIST

Per associare un certificato SSL a livello di regione a un proxy HTTPS di destinazione, utilizza il comando gcloud compute target-https-proxies update con i flag --region e --ssl-certificates-region:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --region=REGION \
    --ssl-certificates=SSL_CERTIFICATE_LIST \
    --ssl-certificates-region=REGION

Sostituisci quanto segue:

  • TARGET_PROXY_NAME: il nome del proxy di destinazione del bilanciatore del carico
  • REGION (se applicabile): la regione del proxy di destinazione a livello di regione e del certificato SSL a livello di regione; le regioni devono corrispondere

  • SSL_CERTIFICATE_LIST: un elenco delimitato da virgole di nomi dei certificati SSL di Google Cloud

    Assicurati che l'elenco dei certificati a cui viene fatto riferimento includa tutti i certificati SSL validi meno recenti e il nuovo certificato SSL. Il comando gcloud compute target-ssl-proxies update sostituisce i valori originali di --ssl-certificates con il nuovo valore.

API

Per associare un certificato SSL globale a un proxy HTTPS di destinazione, effettua una richiesta POST al metodo targetHttpsProxies.insert, sostituendo PROJECT_ID con l'ID progetto.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy

{
"name": "l7-xlb-proxy",
"urlMap": "projects/PROJECT_ID/global/urlMaps/l7-xlb-map",
"sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME
}

Per associare un certificato SSL globale a un proxy HTTPS di destinazione, effettua una richiesta POST al metodo targetSslProxies.insert, sostituendo PROJECT_ID con l'ID progetto.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxy

{
"name": "l7-ssl-proxy",
"sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME
}

Per associare un certificato SSL a livello di regione a un proxy HTTPS di destinazione, effettua una richiesta POST al metodo targetHttpsProxies.insert sostituendo PROJECT_ID con il tuo ID progetto.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy

{
"name": "l7-xlb-proxy",
"urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-map",
"region": "us-west1"
"sslCertificates": /projectsPROJECT_IDregions/us-west1/sslCertificates/SSL_CERT_NAME
}

Passaggio 4: aggiorna i record DNS A e AAAA in modo che puntino all'indirizzo IP del bilanciatore del carico

Sul sito del registrar, sull'host DNS o sull'ISP (dove siano gestiti i record DNS), aggiungi o aggiorna i record DNS A (per IPv4) e i record DNS AAAA (per IPv6) per i tuoi domini e gli eventuali sottodomini, in modo che puntino all'indirizzo IP associato alla regola o alle regole di forwarding del bilanciatore del carico.

Se utilizzi Cloud DNS e Cloud Domains, configura i tuoi domini e aggiorna i server dei nomi.

Se utilizzi più domini per un singolo certificato, devi aggiungere o aggiornare i record DNS per tutti i domini e gli eventuali sottodomini, in modo che puntino tutti all'indirizzo IP del bilanciatore del carico.

Dopo aver atteso il completamento della propagazione DNS, puoi verificare la configurazione eseguendo il comando dig. Ad esempio, supponiamo che il tuo dominio sia www.example.com. Esegui questo comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com.        1742    IN  CNAME   www.example.com.edgekey.net.
www.example.com.edgekey.net. 21330 IN   CNAME   www.example.com.edgekey.net.globalredir.akadns.net.
www.example.com.edgekey.net.globalredir.akadns.net. 3356 IN CNAME   e6858.dsce9.akamaiedge.net.
e6858.dsce9.akamaiedge.net. 19  IN  A   203.0.113.5

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

In questo esempio, 203.0.113.5 è l'indirizzo IP del bilanciatore del carico.

Passaggio 5: esegui un test con OpenSSL

Potrebbero essere necessari fino a 30 minuti prima che il bilanciatore del carico inizi a utilizzare il certificato SSL autogestito.

Per verificare, esegui questo comando OpenSSL, sostituendo DOMAIN con il tuo nome DNS e IP_ADDRESS con l'indirizzo IP del tuo bilanciatore del carico.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Questo comando restituisce i certificati che il bilanciatore del carico presenta al client. Oltre ad altre informazioni dettagliate, l'output dovrebbe includere la catena di certificati e Verify return code: 0 (ok).

Utilizzare i certificati SSL autogestiti

Le seguenti sezioni descrivono come elencare, visualizzare, eliminare e sostituire le risorse del certificato SSL.

Elenca certificati SSL

Console

Puoi controllare lo stato dei tuoi certificati SSL globali nella scheda Certificati classici della pagina Gestore certificati. I certificati SSL a livello di regione non possono essere gestiti nella console Google Cloud. Utilizza gcloud o l'API REST.

  1. Vai alla scheda Certificati classici nella console Google Cloud.
    Vai ai certificati classici
  2. (Facoltativo) Filtra l'elenco dei certificati SSL.

gcloud

Per elencare i certificati SSL globali, utilizza il comando gcloud compute ssl-certificates list con il flag --global:

gcloud compute ssl-certificates list \
   --global

Per elencare i certificati SSL a livello di regione, utilizza il comando gcloud compute ssl-certificates list con il filtro region:

gcloud compute ssl-certificates list \
   --filter="region:(REGION ...)"

Sostituisci quanto segue:

  • REGION: una regione di Google Cloud; includi più regioni come elenco separato da spazi

Descrizione dei certificati SSL

Console

Per visualizzare ulteriori dettagli sui certificati SSL globali, consulta la scheda Certificati classici della pagina Gestore certificati.

  1. Vai alla pagina Certificati classici nella console Google Cloud.
    Vai ai certificati classici
  2. (Facoltativo) Filtra l'elenco dei certificati SSL.
  3. Per visualizzare ulteriori dettagli, fai clic sul nome del certificato.

gcloud

Per descrivere un certificato SSL globale, utilizza il comando gcloud compute ssl-certificates describe con il flag --global:

gcloud  compute ssl-certificates describe CERTIFICATE_NAME \
   --global

Per descrivere un certificato SSL a livello di regione, utilizza il comando gcloud compute ssl-certificates describe con il flag --region:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --region=REGION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato SSL
  • REGION: una regione Google Cloud

Elimina certificati SSL

Prima di poter eliminare un certificato SSL, devi aggiornare ogni proxy di destinazione che fa riferimento al certificato. Per ogni proxy di destinazione, esegui il comando gcloud update appropriato per aggiornare SSL_CERTIFICATE_LIST del proxy di destinazione in modo che non includa più il certificato SSL che devi eliminare. Ogni proxy SSL di destinazione o proxy HTTPS di destinazione deve fare riferimento ad almeno un certificato SSL.

Dopo aver aggiornato il proxy di destinazione, puoi eliminare il certificato SSL.

Console

Puoi eliminare i certificati SSL globali nella scheda Certificati classici della pagina Gestore certificati.

  1. Vai alla scheda Certificati classici nella console Google Cloud.
    Vai ai certificati classici
  2. Seleziona il certificato SSL che vuoi eliminare.
  3. Fai clic su Elimina.
  4. Per confermare, fai di nuovo clic su Elimina.

gcloud

Per eliminare un certificato SSL globale, utilizza il comando gcloud compute ssl-certificates delete con il comando --global:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Per eliminare un certificato SSL a livello di regione, utilizza il comando gcloud compute ssl-certificates delete con il comando --region:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --region=REGION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato SSL
  • REGION: una regione Google Cloud

Sostituire o rinnovare un certificato SSL prima che scada

Per sostituire, rinnovare o ruotare un certificato SSL, procedi nel seguente modo:

  1. Esegui il comando gcloud compute ssl-certificates describe per il certificato corrente, in modo da controllare se sta per scadere.

  2. Crea una nuova risorsa del certificato SSL. Il nuovo certificato SSL deve avere un nome univoco all'interno del progetto.

  3. Aggiorna il proxy di destinazione per scollegare il certificato SSL precedente e aggiungere quello nuovo. Assicurati di includere eventuali altri certificati SSL esistenti che vuoi conservare.

    Per evitare tempi di inattività, esegui un singolo comando gcloud con il flag --ssl-certificates. Ad esempio:

    Per i bilanciatori del carico delle applicazioni esterni globali:

    Utilizza il comando gcloud compute target-https-proxies update con il flag --global.

    gcloud compute target-https-proxies update TARGET_PROXY_NAME \
   --global \
   --ssl-certificates=new-ssl-cert,other-certificates \
   --global-ssl-certificates

    Per i bilanciatori del carico delle applicazioni esterni regionali e i bilanciatori del carico delle applicazioni interni:

    Utilizza il comando gcloud compute target-https-proxies update con il flag --region.

    gcloud compute target-https-proxies update TARGET_PROXY_NAME \
   --region REGION \
   --ssl-certificates=new-ssl-cert,other-certificates \
   --global-ssl-certificates

    Per i bilanciatori del carico di rete proxy esterni:

    Utilizza il comando gcloud compute target-ssl-proxies update con il flag --backend-service.

    gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
   --ssl-certificates=new-ssl-cert,other-certificates

  4. Verifica che il bilanciatore del carico fornisca il certificato sostitutivo eseguendo il comando OpenSSL seguente:

    echo | openssl s_client -showcerts -connect IP_ADDRESS:443 -verify 99 -verify_return_error

  5. Attendi 15 minuti per assicurarti che l'operazione di sostituzione si sia propagata a tutti i Google Front End (GFE).

  6. (Facoltativo) Elimina il certificato SSL precedente.

Ruota periodicamente i certificati SSL

Questa soluzione di esempio verifica periodicamente lo stato dei certificati utilizzati con i bilanciatori del carico Google Cloud e ruota i certificati quando raggiungono una determinata percentuale del loro lifetime. Lo strumento utilizza le CA configurate mediante Certificate Authority Service.

Questa soluzione funziona con i seguenti bilanciatori del carico:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico delle applicazioni esterno regionale
  • Bilanciatore del carico delle applicazioni interno
  • Bilanciatore del carico di rete proxy esterno con proxy SSL

Passaggi successivi