Questo tutorial mostra come utilizzare Certificate Manager per eseguire il deployment di un certificato regionale gestito da Google con Certificate Authority Service in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.
Se vuoi eseguire il deployment su bilanciatori del carico esterni globali o interregionali, consulta quanto segue:
Configura l'integrazione del servizio CA con Gestore certificati
Per integrare il servizio CA con Certificate Manager, segui questi passaggi:
Nel progetto Google Cloud di destinazione, crea un account di servizio Certificate Manager:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del progettoGoogle Cloud di destinazione.Il comando restituisce il nome dell'identità del servizio creata. Vedi il seguente esempio:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Concedi all'account di servizio Certificate Manager il ruolo CA Service Certificate Requester (
roles/privateca.certificateRequester) all'interno del pool CA di destinazione:gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterSostituisci quanto segue:
CA_POOL: l'ID del pool di CA di destinazione.LOCATION: la posizione Google Cloud di destinazione.SERVICE_ACCOUNT: il nome completo del account di servizio che hai creato nel passaggio 1.
Crea una risorsa di configurazione dell'emissione dei certificati per il tuo pool di CA:
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Fai clic su Crea. Viene visualizzata la pagina Crea una configurazione dell'emissione dei certificati.
Nel campo Nome, inserisci un nome univoco per la configurazione di emissione del certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione di emissione.
Per Località, seleziona A livello di regione.
Per Regione, seleziona la stessa regione del certificato e del pool di CA.
(Facoltativo) Nel campo Durata, specifica la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
(Facoltativo) In Percentuale della finestra di rotazione, specifica la percentuale della durata del certificato in cui inizia la procedura di rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale della finestra di durata e rotazione.
(Facoltativo) Dall'elenco Algoritmo chiave, seleziona l'algoritmo chiave da utilizzare durante la generazione della chiave privata.
Nell'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione di certificati.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATIONSostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati.CA_POOL: il percorso e il nome completi della risorsa del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione di certificati.LOCATION: la posizione Google Cloud di destinazione. Devi specificare la stessa località del pool di CA e del certificato.
Per saperne di più sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire le risorse di configurazione dell'emissione dei certificati.
Crea un certificato gestito da Google emesso dall'istanza del servizio CA
Per creare un certificato gestito da Google emesso dalla tua istanza CA Service:
Console
Nella console Google Cloud , vai alla pagina Certificate Manager.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona A livello di regione.
Nell'elenco Regione, seleziona la tua regione.
In Tipo di certificato, seleziona Crea certificato gestito da Google.
In Tipo di autorità di certificazione, seleziona Privata.
Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio
myorg.example.com.Per Seleziona una configurazione per l'emissione del certificato, seleziona il nome della risorsa di configurazione per l'emissione del certificato che fa riferimento al pool di CA di destinazione.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato gestito da Google regionale con Certificate Authority Service,
utilizza il comando certificate-manager certificates create con il
flag issuance-config:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config="ISSUANCE_CONFIG_NAME" \
--location="LOCATION"
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato.DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.LOCATION: la posizione Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione di certificati e del certificato gestito.
API
Crea il certificato inviando una richiesta POST al
metodo certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
},
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.LOCATION: la posizione Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione di certificati e del certificato gestito.CERTIFICATE_NAME: il nome del certificato.DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
Verifica lo stato del certificato
Prima di eseguire il deployment di un certificato in un bilanciatore del carico, verifica che sia attivo. Potrebbero essere necessari diversi minuti prima che lo stato del certificato diventi ACTIVE.
Console
Nella console Google Cloud , vai alla pagina Certificate Manager.
Nella scheda Certificati, controlla la colonna Stato del certificato.
gcloud
Per verificare lo stato del certificato, esegui questo comando:
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
--location=LOCATION
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato.LOCATION: la posizione Google Cloud di destinazione in cui hai creato il certificato gestito da Google.
L'output è simile al seguente:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/LOCATION/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/LOCATION/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Per ulteriori passaggi per la risoluzione dei problemi, consulta Risolvere i problemi di Certificate Manager.
Esegui il deployment del certificato gestito da Google regionale in un bilanciatore del carico
Per eseguire il deployment del certificato gestito da Google a livello di regione, collegalo direttamente al proxy di destinazione.
Allega il certificato direttamente al proxy di destinazione
Puoi collegare il certificato a un nuovo proxy di destinazione o a uno esistente.
Per collegare il certificato a un nuovo proxy di destinazione, utilizza il comando
gcloud compute
target-https-proxies create:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-manager-certificates=CERTIFICATE_NAME \
--url-map=URL_MAP \
--region=LOCATION
Sostituisci quanto segue:
PROXY_NAME: il nome del proxy di destinazione.CERTIFICATE_NAME: il nome del certificato.URL_MAP: il nome della mappa degli URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.LOCATION: la Google Cloud posizione di destinazione in cui vuoi creare il proxy di destinazione HTTPS.
Per collegare il certificato a un proxy HTTPS di destinazione esistente, utilizza il comando gcloud
compute target-https-proxies update. Se non
conosci il nome del proxy di destinazione esistente, vai alla pagina Proxy
di destinazione e annota il nome del proxy di destinazione.
gcloud compute target-https-proxies update PROXY_NAME \
--region=LOCATION \
--certificate-manager-certificates=CERTIFICATE_NAME
Dopo aver creato o aggiornato il proxy di destinazione, esegui questo comando per verificarlo:
gcloud compute target-https-proxies list
Risoluzione dei problemi relativi ai certificati emessi dal servizio CA
Per la procedura di risoluzione dei problemi, vedi Problemi relativi ai certificati emessi da un'istanza del servizio CA.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, eliminale.
Elimina il bilanciatore del carico e le relative risorse.
Vedi Pulizia della configurazione di un bilanciatore del carico.
Elimina il certificato gestito da Google:
Console
Nella console Google Cloud , vai alla pagina Certificate Manager.
Nella scheda Certificati, seleziona la casella di controllo del certificato.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ --location=LOCATIONSostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato.LOCATION: la posizione Google Cloud di destinazione.
Elimina la risorsa di configurazione dell'emissione dei certificati:
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Seleziona la casella di controllo della risorsa di configurazione dell'emissione che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME \ --location=LOCATIONSostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.LOCATION: la posizione Google Cloud di destinazione.
Elimina il pool di CA.
Per eliminare il pool di CA o per disattivare l'ultima CA abilitata in un pool di CA a cui fa riferimento una configurazione di emissione di certificati, elimina tutte le configurazioni di emissione di certificati che fanno riferimento al pool di CA. Per saperne di più, consulta la sezione Eliminare un pool di CA.