In dieser Anleitung erfahren Sie, wie Sie mit Certificate Manager ein globales selbstverwaltetes Zertifikat für einen regionenübergreifenden internen Application Load Balancer bereitstellen.
Wenn Sie die Bereitstellung für globale externe Load Balancer oder regionale Load Balancer vornehmen möchten, lesen Sie die folgenden Abschnitte:
Lernziele
In diesem Anleitung werden die folgenden Aufgaben erläutert:
- Laden Sie ein selbstverwaltetes Zertifikat in den Zertifikatmanager hoch.
- Stellen Sie das Zertifikat mit einem HTTPS-Zielproxy auf einem unterstützten Load-Balancer bereit.
Hinweise
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)Erforderlich zum Erstellen und Verwalten von Certificate Manager-Ressourcen.
Administrator für Compute-Load-Balancer (
roles/compute.loadBalancerAdmin) oder Compute-Netzwerkadministrator (roles/compute.networkAdmin)Erforderlich zum Erstellen und Verwalten von HTTPS-Zielproxys.
- Rollen und Berechtigungen für Certificate Manager.
- Compute Engine-IAM-Rollen und -Berechtigungen für Compute Engine.
Verwenden Sie eine vertrauenswürdige Drittanbieter-Zertifizierungsstelle (CA), um das Zertifikat zusammen mit dem zugehörigen Schlüssel auszustellen.
Prüfen Sie, ob das Zertifikat richtig verkettet und als vertrauenswürdig eingestuft ist.
Bereiten Sie die folgenden PEM-codierten Dateien vor:
- Die Zertifikatsdatei (CRT)
- Die entsprechende Datei mit dem privaten Schlüssel (KEY)
Erforderliche Rollen
Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung auszuführen:
Hier finden Sie weitere Informationen:
Load-Balancer erstellen
In dieser Anleitung wird davon ausgegangen, dass Sie die Backends, Systemdiagnosen, Backend-Dienste und URL-Zuordnungen des Load-Balancers bereits erstellt und konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.
Wenn Sie noch keinen regionenübergreifenden internen Application Load Balancer erstellt haben, lesen Sie den Abschnitt Regionenübergreifenden internen Application Load Balancer mit Back-Ends von VM-Instanzgruppen einrichten.
Privaten Schlüssel und Zertifikat erstellen
So erstellen Sie einen privaten Schlüssel und ein Zertifikat:
Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Privaten Schlüssel und Zertifikat erstellen.
Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen
So laden Sie das Zertifikat in den Zertifikatmanager hoch:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Global aus.
Wählen Sie unter Umfang die Option Alle Regionen aus.
Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Im Feld Zertifikat haben Sie eine der folgenden Optionen:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit
-----BEGIN CERTIFICATE-----beginnen und mit-----END CERTIFICATE-----enden.
Im Feld Zertifikat für privaten Schlüssel haben Sie eine der folgenden Optionen:
- Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit
-----BEGIN PRIVATE KEY-----beginnen und mit-----END PRIVATE KEY-----enden.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugewiesen werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.
Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
gcloud
Verwenden Sie zum Erstellen eines regionenübergreifenden selbstverwalteten Zertifikats den Befehl certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--scope=all-regions
Ersetzen Sie Folgendes:
CERTIFICATE_NAME: Der Name des Zertifikats.CERTIFICATE_FILE: Der Pfad und der Dateiname der CRT-Zertifikatsdatei.PRIVATE_KEY_FILE: Pfad und Dateiname der privaten Schlüsseldatei KEY.
Terraform
Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, können Sie eine google_certificate_manager_certificate-Ressource mit dem self_managed-Block verwenden.
API
Laden Sie das Zertifikat hoch, indem Sie eine POST-Anfrage an die Methode certificates.create stellen:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
scope: "ALL_REGIONS"
}
}
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud Projekts.CERTIFICATE_NAME: Der Name des Zertifikats.PEM_CERTIFICATE: Das Zertifikat im PEM-Format.PEM_KEY: der Schlüssel-PEM.
Selbstverwaltetes Zertifikat für einen Load Balancer bereitstellen
Wenn Sie das globale selbstverwaltete Zertifikat bereitstellen möchten, hängen Sie es direkt an den Zielproxy an.
Zertifikat direkt an den Zielproxy anhängen
Sie können das Zertifikat an einen neuen oder vorhandenen Zielproxy anhängen.
Verwenden Sie den Befehl gcloud compute
target-https-proxies create, um das Zertifikat an einen neuen Zielproxy anzuhängen:
gcloud compute target-https-proxies create PROXY_NAME \
--url-map=URL_MAP \
--certificate-manager-certificates=CERTIFICATE_NAME \
--global
Ersetzen Sie Folgendes:
PROXY_NAME: der Name des Zielproxys.URL_MAPist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load-Balancers erstellt.CERTIFICATE_NAME: Der Name des Zertifikats.
Verwenden Sie den Befehl gcloud
compute target-https-proxies update, um das Zertifikat an einen vorhandenen Ziel-HTTPS-Proxy anzuhängen. Wenn Sie den Namen des vorhandenen Zielproxys nicht kennen, rufen Sie die Seite Zielproxys auf und notieren Sie sich den Namen des Zielproxys.
gcloud compute target-https-proxies update PROXY_NAME \
--global \
--certificate-manager-certificates=CERTIFICATE_NAME
Führen Sie nach dem Erstellen oder Aktualisieren des Zielproxys den folgenden Befehl aus, um ihn zu prüfen:
gcloud compute target-https-proxies list
Bereinigen
So vermeiden Sie, dass Ihrem Google Cloud Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.
Wenn Sie den Load-Balancer nicht verwenden möchten, löschen Sie ihn und seine Ressourcen. Load-Balancing-Einrichtung bereinigen