TLS-Zertifikate abrufen: Ein Beispiel

Dieses Thema ist nur als Beispiel vorgesehen. Es wird erläutert, wie Sie ein TLS-Zertifikat von der Zertifizierungsstelle Let's Encrypt abrufen. Diese Schritte dienen hauptsächlich als Beispiel, wenn Sie keine weitere Möglichkeit haben, ein Zertifikat/Schlüssel-Paar zu erhalten, das von einer CA autorisiert wurde. Das Beispiel zeigt, wie Zertifikate mit der Zertifizierungsstelle Let's Encrypt, dem Certbot-Client und Cloud DNS der Google Cloud Platform generiert werden.

Wo Sie diese Zertifikate verwenden können

Sie müssen TLS-Anmeldedaten für zwei Istio-Eingangsgateways angeben, die außerhalb des Clusters verfügbar sind:

Gateway	TLS-Anforderung
Gateway für eingehenden Traffic für die Laufzeit	Sie können ein selbst signiertes Zertifikat/Schlüsselpaar oder autorisierte TLS-Zertifikate verwenden.
MART-Ingress-Gateway (optional, wenn kein Apigee Connect verwendet wird)	Erfordert ein autorisiertes TLS-Zertifikat/-Schlüsselpaar oder ein Kubernetes-Secret.

Siehe auch Externe Verbindungen.

Anforderungen

Sie benötigen einen Domainnamen, der über einen Domainnamenregistrator ausgestellt wird. Domainnamen können über Google Domains oder über einen beliebigen anderen Registrator angemeldet werden.

Cloud DNS konfigurieren

Um autorisierte TLS-Zertifikate zu erhalten, benötigen Sie einen qualifizierten Domainnamen. In den folgenden Schritten wird erläutert, wie Sie mit Google Cloud DNS einen Domainnamen abrufen und Ihre Domainserver verwalten.

1. Öffnen Sie die Google Cloud Console und melden Sie sich mit dem Konto an, das Sie in Schritt 1: Google Cloud-Konto erstellen erstellt haben.
2. Wählen Sie das Projekt aus, das Sie in Schritt 2: Google Cloud-Projekt erstellen erstellt haben.
3. Aktivieren Sie die Cloud DNS API, falls noch nicht geschehen. Siehe APIs aktivieren.
4. Erstellen Sie eine statische IP-Adresse.
   • Wenn Sie in GKE sind, folgen Sie der Anleitung unter Statische externe IP-Adresse reservieren, um statische IP-Adressen zu erstellen, mit denen externe Prozesse mit dem hybriden Laufzeit-Ingress kommunizieren können. Sie können der Adresse einen beliebigen Namen geben, beispielsweise apigee-hybrid-runtime. Nach Abschluss des Vorgangs verwenden Sie die IP-Adresse in der Clusterkonfiguration im nächsten Schritt. Beispiel: 34.66.75.196
   • Wenn Sie mit Anthos GKE arbeiten, erstellen Sie eine statische IP-Adresse in der Dokumentation zu Anthos GKE.
5. Rufen Sie die gerade reservierte externe IP-Adresse ab.
6. Datensatz für den Istio-Ingress-Endpunkt der Laufzeit erstellen. Dies ist die Adresse für API-Aufrufe an das Hybridgateway. Geben Sie die externe IP-Adresse ein, die Sie im vorherigen Schritt erhalten haben, und fügen Sie dem Domainnamen ein Präfix hinzu, z. B. example-endpoint. Eine Anleitung hierzu finden Sie unter Neuen Eintrag erstellen.
   1. Verwaltete öffentliche Zone erstellen. Eine Anleitung hierzu finden Sie unter Verwaltete öffentliche Zone erstellen.
   2. Erstellen Sie einen neuen Datensatz:
      • DNS-Name: Der Name der Endpunkt-API-Aufrufe, mit denen der Endpunkt kommuniziert, wie api-services oder example-endpoint
      • Resource Record Type: (Ressourceneintragstyp): A
      • TTL und TTL-Einheit: Übernehmen Sie die Standardeinstellungen.
      • IP-Adresse: Die von Ihnen erstellte statische IP-Adresse.
7. In der Ansicht Zonendetails werden vier DNS-Server als NS-Daten für Ihre neue Zone aufgelistet. Kopieren Sie die DNS-Eintragsdaten, wie im folgenden Beispiel gezeigt:

   

8. Kehren Sie zu Ihrer Domain bei Ihrem Registrator zurück (z. B. Google Domains).
9. Wählen Sie Ihre Domain aus.
10. Wählen Sie DNS aus.
11. Klicken Sie im Abschnitt Nameserver auf Bearbeiten.

12. Geben Sie die Domain-Nameserver ein, die Sie von der Seite "Network Services Cloud DNS" kopiert haben: Beispiel:

    

Nun verwaltet Google Cloud DNS die DNS-Einträge für Ihre Domain.

Installieren Sie Certbot auf einer VM

Nachdem Sie Cloud DNS für die Verwaltung Ihrer Domainserver eingerichtet haben, installieren Sie den Certbot-Client mit dem Plug-in dns_google auf einer Cloud-VM. Mit dem Client können Sie autorisierte Zertifikate für Ihre Domain von einem Let's Encrypt-Endpunkt abrufen.

1. Öffnen Sie die Google Cloud Console und melden Sie sich mit dem Konto an, das Sie in Schritt 1: Google Cloud-Konto erstellen erstellt haben.
2. Wählen Sie das Projekt aus, das Sie in Schritt 2: Google Cloud-Projekt erstellen erstellt haben.
3. Wählen Sie IAM und Verwaltung > Dienstkonten aus.

   In der Dienstkontenansicht wird eine Liste der Dienstkonten des Projekts angezeigt.

4. Klicken Sie oben in der Ansicht auf +Dienstkonto erstellen, um ein neues Dienstkonto zu erstellen.

   Die Ansicht Dienstkontodetails wird angezeigt.

5. Geben Sie im Feld Name des Dienstkontos den Namen des Dienstkontos ein.

   

   Optional können Sie im Feld Dienstkontobeschreibung eine Beschreibung eingeben. Beschreibungen helfen Ihnen, sich genau daran zu erinnern, wofür ein bestimmtes Dienstkonto verwendet wird.

6. Klicken Sie auf Erstellen.

   Google Cloud erstellt ein neues Dienstkonto und zeigt die Ansicht Dienstkontoberechtigungen an. Verwenden Sie diese Ansicht, um Ihrem neuen Dienstkonto eine Rolle zuzuweisen.

7. Klicken Sie auf die Drop-down-Liste Rolle auswählen.
8. Wählen Sie die Rolle Projektinhaber aus.
9. Klicken Sie auf Weiter.
10. Klicken Sie auf Fertig.
11. Wählen Sie in der Google Cloud Console Compute Engine > VM-Instanzen aus.
12. Erstellen Sie eine VM-Instanz mit dem Namen certmanager.
13. Wählen Sie im Abschnitt "Bootlaufwerk" CentOS7 und 20 GB als nichtflüchtigen SSD-Speicher aus.
14. Legen Sie als Dienstkonto das oben erstellte fest.
15. Installieren Sie Certbot und das Plug-in dns_google auf dem Computer und führen Sie den Certbot-Client aus:

      sudo su -
      yum -y install yum-utils
      yum install certbot -y
      yum install certbot-dns-google -y
      certbot certonly --dns-google -d *.your_domain_name,*.your_domain_name --server https://acme-v02.api.letsencrypt.org/directory
      

    Beispiel:

    sudo su -
    yum -y install yum-utils
    yum install certbot -y
    yum install certbot-dns-google -y
    certbot certonly --dns-google -d *.apigee-hybrid-docs.net,*.apigee-hybrid-docs.net --server https://acme-v02.api.letsencrypt.org/directory

16. Sie finden jetzt Ihr autorisiertes Zertifikat und Ihre privaten Schlüsseldateien in diesem Verzeichnis: cd /etc/letsencrypt/live/your_domain_name/

    Beispiel:

    cd /etc/letsencrypt/live/apigee-hybrid-docs.net
    ls
      cert.pem  chain.pem  fullchain.pem  privkey.pem  README

17. Kopieren Sie die Dateien fullchain.pem und privkey.pem auf Ihren lokalen Rechner.
18. Optional: Sie erstellen ein Kubernetes-Secret mit dem Zertifikat/Schlüsselpaar. Weitere Informationen finden Sie unter Option 2: Kubernetes-Secret in TLS und mTLS auf dem Istio-Ingress konfigurieren.
19. Aktualisieren Sie Ihre Überschreibungsdatei so, dass sie auf das Zertifikat und den privaten Schlüssel verweist.

    Beispiel:

    ...
    envs:
      - name: test
        serviceAccountPaths:
          synchronizer: "your_keypath/synchronizer-manager-service-account.json
          udca: "your_keypath/analytic-agent-service-account.json
    
    virtualhosts:
      - name: my-env-group
        sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem"
        sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem"
    
    mart: # Assuming you are not using Apigee Connect
      nodeSelector:
        key: cloud.google.com/gke-nodepool
        value: apigee-runtime
      sslCertPath: "$HOME/hybrid/apigee-hybrid-setup/tls/fullchain.pem"
      sslKeyPath: "$HOME/hybrid/apigee-hybrid-setup/tls/privkey.pem"
      replicaCountMin: 1
      replicaCountMax: 1

    Oder wenn Sie Kubernetes-Secrets verwenden:

    ...
    envs:
      - name: test
        serviceAccountPaths:
          synchronizer: "your_keypath/synchronizer-manager-service-account.json
          udca: "your_keypath/analytic-agent-service-account.json
    
    virtualhosts:
      - name: my-env-group
        tlsMode: SIMPLE  # Note: SIMPLE is the default, MUTUAL is also an available value.
        sslSecret: myorg-test-policy-secret"
    
    mart: # Assuming you are not using Apigee Connect
      nodeSelector:
        key: cloud.google.com/gke-nodepool
        value: apigee-runtime
        sslSecret: myorg-test-policy-secret"
      replicaCountMin: 1
      replicaCountMax: 1
    
    ...  

20. Änderungen anwenden:

    Wenn Sie die Konfiguration mart geändert haben, wenden Sie die Änderungen an:

    apigeectl apply -f your_overrides_file --all-envs

    Wenn Sie die Konfiguration envs geändert haben, wenden Sie die Änderungen an:

    apigeectl apply -f your_overrides_file --all-envs

Konfiguration testen

Stellen Sie einen Proxy bereit und testen Sie ihn, wie unter Neuen API-Proxy erstellen und bereitstellen beschrieben.