Migrar certificados de balanceadores de carga para o Gerenciador de certificados

Neste tutorial, mostramos como migrar certificados do Cloud Load Balancing para o Certificate Manager. Para mais informações sobre certificados do Cloud Load Balancing, consulte a visão geral dos certificados SSL na documentação do Cloud Load Balancing.

Para migrar certificados do Cloud Load Balancing sem tempo de inatividade, primeiro identifique os certificados que você quer migrar. Em seguida, crie o mesmo número de certificados gerenciados pelo Google que os certificados do Cloud Load Balancing. Em seguida, consolide os certificados em um único mapa e teste o mapa em outro balanceador de carga. Se os testes forem bem-sucedidos, anexe o mapa de certificados ao balanceador de carga de destino que hospeda seus certificados do Cloud Load Balancing.

Para encontrar a lista de balanceadores de carga compatíveis, consulte Visão geral do Gerenciador de certificados.

Objetivos

Nesta seção, mostramos como concluir as seguintes tarefas:

  • Identifique os certificados do balanceador de carga de destino para migrar.
  • Criar certificados gerenciados pelo Google.
  • Crie um mapa de certificados e entradas de mapa de certificados.
  • Teste o mapa de certificados em outro balanceador de carga.
  • Anexe o mapa de certificado ao balanceador de carga de destino.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  13. To initialize the gcloud CLI, run the following command: 

    gcloud init

    14. Funções exigidas

    Verifique se você tem os seguintes papéis para concluir as tarefas deste tutorial:

    • Proprietário do Gerenciador de certificados (roles/certificatemanager.owner)

      Necessário para criar e gerenciar recursos do Gerenciador de certificados.

    • Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin) ou administrador da rede do Compute (roles/compute.networkAdmin)

      Necessário para criar e gerenciar o proxy HTTPS de destino.

    • Administrador do DNS (roles/dns.admin)

      Obrigatório se você quiser usar o Cloud DNS como solução de DNS.

    Para ver mais informações, consulte os seguintes tópicos:

Identificar os certificados a serem migrados

Para identificar os certificados que você quer migrar, siga estas etapas:

  1. No balanceador de carga, identifique o nome do proxy de destino.

  2. Identifique os certificados que você quer migrar.

    Para encontrar os certificados anexados a um proxy de destino, execute o seguinte comando:

    gcloud compute target-https-proxies describe TARGET_PROXY_NAME

    Substitua TARGET_PROXY_NAME pelo nome do proxy de destino.

    O resultado será assim:

    creationTimestamp: '2021-10-06T04:05:07.520-07:00'
fingerprint: c9Txdx6AfcM=
id: '365692570234384780'
kind: compute#targetHttpsProxy
name: my-proxy
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/targetHttpsProxies/my-proxy
sslCertificates:
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-first-certificate
- https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-second-certificate
urlMap: https://www.googleapis.com/compute/v1/projects/my-project/global/urlMaps/my-map

    Anote os nomes dos certificados listados no campo sslCertificates. Para mais informações, consulte Visão geral dos proxies de destino.

  3. Confira os detalhes de cada certificado:

    gcloud compute ssl-certificates --project=PROJECT_ID describe LB_CERTIFICATE_NAME

    Substitua:

    • PROJECT_ID: o ID do projeto Google Cloud .
    • LB_CERTIFICATE_NAME: o nome do certificado do balanceador de carga.

    O resultado será assim:

       certificate: |
     -----BEGIN CERTIFICATE-----
     MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX
     MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
     CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx
     OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT
     GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx
     MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63
     ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS
     iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k
     KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ
     DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk
     j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5
     cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW
     CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499
     iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei
     Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap
     sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b
     9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP
     BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf
     BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw
     JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH
     MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al
     oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy
     MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF
     AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9
     NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9
     WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw
     9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy
     +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi
     d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8=
     -----END CERTIFICATE-----
   creationTimestamp: '2021-05-06T04:39:21.736-07:00'
   expireTime: '2022-06-07T01:10:34.000-07:00'
   id: '6422259403966690822'
   kind: compute#sslCertificate
   managed:
      domainStatus:
      a.my-domain1.example.com: ACTIVE
      b.my-domain2.example.com: ACTIVE
      domains:
      - a.my-domain1.example.com
      - b.my-domain2.example.com
      status: ACTIVE
   name: my-certificate
   selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/sslCertificates/my-certificate
   subjectAlternativeNames:
   - a. my-domain1.example.com
   - b. my-domain2.example.com
   type: MANAGED

Criar certificados gerenciados pelo Google

Crie o mesmo número de certificados gerenciados pelo Google que os certificados do balanceador de carga. Para um balanceador de carga global ou clássico, crie certificados globais. Para um balanceador de carga regional, crie certificados regionais. Para um balanceador de carga entre regiões, crie certificados entre regiões. Antes de criar os certificados, crie uma autorização de DNS e adicione o registro CNAME à zona DNS autoritativa do seu domínio.

É possível criar certificados gerenciados pelo Google com autorização de DNS (recomendado) ou certificados autogerenciados.

Esta seção lista as etapas e os comandos para criar certificados globais gerenciados pelo Google. Para criar um certificado regional ou entre regiões gerenciado pelo Google, consulte Criar um certificado gerenciado pelo Google.

Criar uma autorização de DNS

Uma autorização de DNS abrange apenas um nome de domínio. É necessário criar uma autorização de DNS separada para cada nome de domínio que você quer usar com o certificado de destino.

Se você estiver criando uma autorização de DNS para um certificado curinga, como *.myorg.example.com, configure a autorização de DNS para o domínio principal, por exemplo, myorg.example.com.

Console

É possível criar ou anexar uma autorização DNS ao criar um certificado. Para mais informações, consulte Criar um certificado gerenciado pelo Google que faça referência à autorização DNS.

gcloud

Para criar uma autorização de DNS, use o comando certificate-manager dns-authorizations create:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME"

Substitua:

  • AUTHORIZATION_NAME: o nome da autorização de DNS.
  • DOMAIN_NAME: o nome do domínio de destino para o qual você está criando essa autorização DNS. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

Os certificados globais gerenciados pelo Google usam FIXED_RECORD como o tipo de autorização de DNS padrão. Para usar a autorização de DNS PER_PROJECT_RECORD, execute o seguinte comando:

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --type="PER_PROJECT_RECORD"

Depois de criar a autorização de DNS, verifique-a com o comando certificate-manager dns-authorizations describe:

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \

A resposta será semelhante a esta: Na saída, encontre a linha dnsResourceRecord e extraia o registro CNAME (data, name e type) para adicionar à configuração de DNS.

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge.myorg.example.com.
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

Terraform

Para criar uma autorização de DNS, use um recurso google_certificate_manager_dns_authorization.

resource "google_certificate_manager_dns_authorization" "default" {
  name        = "${local.name}-dnsauth-${random_id.tf_prefix.hex}"
  description = "The default dns auth"
  domain      = local.domain
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Para criar uma autorização de DNS, faça uma solicitação POST ao método dnsAuthorizations.create:

POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
  "domain": "DOMAIN_NAME",
  "type": "PER_PROJECT_RECORD" //optional
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • AUTHORIZATION_NAME: o nome da autorização de DNS.
  • DOMAIN_NAME: o nome do domínio de destino para o qual você está criando essa autorização DNS. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

Criar um certificado gerenciado pelo Google que faça referência à autorização DNS

Para criar um certificado global gerenciado pelo Google que faça referência à autorização DNS criada nas etapas anteriores, faça o seguinte:

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global.

  6. Em Escopo, selecione Padrão.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade de certificação, selecione Pública.

  9. No campo Nomes de domínio, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com. O nome de domínio também pode ser um nome de domínio curinga, como *.example.com.

  10. Em Tipo de autorização, selecione Autorização de DNS.

    A página lista as autorizações de DNS dos nomes de domínio. Se um nome de domínio não tiver uma autorização de DNS associada, siga estas etapas para criar uma:

    1. Clique em Criar autorização de DNS ausente.
    2. No campo Nome da autorização DNS, especifique o nome da autorização DNS. O tipo de autorização de DNS padrão é FIXED_RECORD. Para gerenciar certificados de forma independente em vários projetos, marque a caixa de seleção Autorização por projeto.
    3. Clique em Criar autorização de DNS.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista.

gcloud

Para criar um certificado global gerenciado pelo Google com autorização de DNS, execute o comando certificate-manager certificates create com a flag dns-authorizations:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME,*.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto de asterisco (*.) significa um certificado curinga.
  • AUTHORIZATION_NAMES: uma lista separada por vírgulas dos nomes das autorizações de DNS criadas para o certificado.

Terraform

Use um recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto e asterisco (*.) significa um certificado curinga.
  • AUTHORIZATION_NAMES: uma lista separada por vírgulas dos nomes das autorizações de DNS.

Adicionar o registro CNAME à configuração de DNS

Se você estiver usando uma solução de DNS de terceiros para gerenciar seu DNS, consulte a documentação dela para adicionar o registro CNAME à configuração de DNS. Se você estiver usando Google Cloud para gerenciar seu DNS, siga as etapas desta seção.

Console

Para criar um conjunto de registros, siga estas etapas:

  1. No console Google Cloud , acesse a página Zonas de DNS.

    Acessar zonas do Cloud DNS

  2. Clique no nome da zona de DNS em que você quer adicionar o registro.

  3. Na página Detalhes da zona, clique em Adicionar padrão.

  4. Na página Criar conjunto de registros, no campo Nome do DNS, insira o subdomínio da zona DNS.

    Ao inserir o nome do subdomínio, verifique se ele, incluindo o texto esmaecido mostrado no campo Nome DNS, corresponde ao valor completo do campo dnsResourceRecord.name, conforme mostrado na saída do comando gcloud certificate-manager dns-authorizations describe.

    Veja os exemplos a seguir:

    • Se o valor do campo dnsResourceRecord.name for _acme-challenge.myorg.example.com. e o texto esmaecido no campo Nome do DNS for .example.com., insira _acme-challenge.myorg.

    • Se o valor do campo dnsResourceRecord.name for _acme-challenge.myorg.example.com. e o texto esmaecido no campo Nome do DNS for .myorg.example.com., insira _acme-challenge.

    • Se o valor do campo dnsResourceRecord.name for _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. e o texto esmaecido no campo Nome do DNS for .myorg.example.com., insira _acme-challenge_ujmmovf2vn55tgye.

  5. No campo Tipo de registro de recurso, selecione CNAME.

  6. No campo TTL, insira um valor numérico positivo para o time to live (TTL) do registro de recursos, que é o tempo que ele pode ser armazenado em cache.

  7. Na lista Unidade TTL, selecione a unidade de tempo. Por exemplo, 30 minutes.

  8. No campo Nome canônico, insira o valor completo do campo dnsResourceRecord.data, conforme exibido na saída do comando gcloud certificate-manager dns-authorizations describe.

  9. Para inserir informações adicionais, clique em Adicionar item.

  10. Clique em Criar.

gcloud

Ao criar uma autorização de DNS, o comando da CLI gcloud retorna o registro CNAME correspondente. Para adicionar o registro CNAME à sua configuração DNS na zona DNS do domínio de destino, siga estas etapas:

  1. Inicie a transação do registro DNS:

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    Substitua DNS_ZONE_NAME pelo nome da zona de DNS de destino.

  2. Adicione o registro CNAME à zona DNS de destino:

    gcloud dns record-sets transaction add CNAME_RECORD \
    --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \
    --ttl="30" \
    --type="CNAME" \
    --zone="DNS_ZONE_NAME"

    Substitua:

    • CNAME_RECORD: o valor de dados completo do registro CNAME retornado pelo comando da Google Cloud CLI que criou a autorização de DNS correspondente.
    • VALIDATION_SUBDOMAIN_NAME: o subdomínio de prefixo da zona DNS, como _acme-challenge. Copie o nome do registro de comando gcloud certificate-manager dns-authorizations describe, conforme descrito em Criar uma autorização de DNS.
    • DOMAIN_NAME: o nome do domínio de destino.O nome de domínio precisa ser totalmente qualificado, como myorg.example.com. Você também precisa incluir o ponto final após o nome de domínio de destino.
    • DNS_ZONE_NAME: o nome da zona DNS de destino.

    Veja o exemplo a seguir:

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
    --name="_acme-challenge.myorg.example.com." \
    --ttl="30" \
    --type="CNAME" \
    --zone="myorg-example-com"

  3. Execute a transação do registro DNS para salvar as mudanças:

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    Substitua DNS_ZONE_NAME pelo nome da zona de DNS de destino.

Terraform

Para adicionar o registro CNAME à configuração de DNS, use um recurso google_dns_record_set.

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

Verificar o status do certificado

Antes de implantar um certificado em um balanceador de carga, verifique se ele está ativo. Pode levar vários minutos para que o estado do certificado mude para ACTIVE.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, verifique a coluna Status do certificado.

gcloud

Para verificar o status do certificado, execute o comando a seguir:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado gerenciado pelo Google de destino.

O resultado será assim:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  dnsAuthorizations:
    - projects/myProject/locations/global/dnsAuthorizations/myCert
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  -   myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Se o estado do certificado não for ACTIVE depois de várias horas, verifique se você adicionou corretamente o registro CNAME à sua configuração de DNS.

Para mais etapas de solução de problemas, consulte Resolver problemas do Certificate Manager.

Criar o mapa de certificados

Para implantar um certificado em um balanceador de carga de aplicativo externo global, crie um mapa de certificados.

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME: o nome do mapa de certificados.

Criar as entradas do mapa de certificados

Para implantar um certificado em um balanceador de carga de aplicativo externo global, crie uma entrada de mapa de certificado.

Para cada certificado que você quer migrar, crie entradas de mapa de certificados que referenciem esses certificados da seguinte maneira:

  1. Confira os detalhes do certificado.

  2. No registro, para cada domínio listado no campo subjectAlternativeNames, crie uma entrada de mapa de certificado que abranja esse domínio. Se mais de um certificado cobrir um único domínio, você só precisará criar uma entrada de mapa de certificado e usar qualquer certificado válido que cubra esse domínio.

    gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

    Substitua:

    • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificados a que a entrada do mapa de certificados está anexada.
    • CERTIFICATE_NAMES: uma lista separada por vírgulas dos nomes dos certificados que você quer associar a essa entrada do mapa de certificados.
    • HOSTNAME: o nome do host que você quer associar à entrada do mapa de certificados.

  3. Opcional: crie uma entrada de mapa de certificado principal que faça referência ao certificado correspondente ao primeiro certificado da lista de certificados originalmente anexados ao proxy.

    gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME" \
   --certificates="CERTIFICATE_NAMES" \
   --set-primary

    Substitua:

    • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificados a que a entrada do mapa de certificados está anexada.
    • CERTIFICATE_NAMES: uma lista separada por vírgulas dos nomes dos certificados que você quer associar a essa entrada do mapa de certificados.

  4. Para verificar o estado ativo de cada entrada do mapa de certificados criada, execute o seguinte comando:

     gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
     --map="CERTIFICATE_MAP_NAME"

    Substitua:

    • CERTIFICATE_MAP_ENTRY_NAME: o nome da entrada do mapa de certificados.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificados a que a entrada do mapa de certificados está anexada.

    O resultado será assim:

       certificates:
   - projects/my-project/locations/global/certificates/my-certificate
   createTime: '2021-09-06T10:01:56.229472109Z'
   hostname: example.com
   name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/my-map-entry
   state: ACTIVE
   updateTime: '2021-09-06T10:01:58.277031787Z'

Opcional: teste sua configuração em um novo balanceador de carga

Para minimizar o tempo de inatividade, recomendamos que você teste os mapas de certificados recém-configurados em um novo balanceador de carga que não esteja atendendo ao tráfego de produção. Isso permite detectar e resolver erros antes de prosseguir com a migração no ambiente de produção.

Teste sua configuração da seguinte maneira:

  1. Crie um balanceador de carga global com um novo proxy de destino. Para criar um balanceador de carga, consulte as seguintes páginas:

  2. Anexe o mapa de certificado ao proxy de destino do novo balanceador de carga.

    gcloud compute target-https-proxies create TEST_PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

    Substitua:

    • TEST_PROXY_NAME: o nome do proxy de destino de teste.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificado que faz referência à entrada do mapa de certificado e ao certificado associado.

  3. Para cada domínio de destino incluído na migração, teste a conectividade com o domínio no endereço IP do novo balanceador de carga:

    openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443

    Substitua:

    • DOMAIN_NAME: o nome do domínio de destino.
    • IP_ADDRESS: o endereço IP do novo balanceador de carga.

    Para mais informações sobre como testar a conectividade, consulte Testar com o OpenSSL.

Limpar o ambiente de teste

Limpe o ambiente de teste criado nas etapas anteriores.

Exclua o balanceador de carga de teste conforme descrito em Excluir o balanceador de carga.

Não exclua os certificados, o mapa de certificados ou as entradas de mapa de certificados criados nas etapas anteriores.

Aplicar o novo mapa de certificados ao balanceador de carga de destino

Depois de testar a nova configuração de certificado e confirmar que ela é válida, siga estas etapas para aplicar o novo mapa de certificados ao balanceador de carga de destino (o balanceador de carga que hospeda seus certificados).

  1. Se você estiver usando um balanceador de carga global, anexe o mapa de certificados ao proxy de destino do novo balanceador de carga:

    gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

    Substitua:

    • TARGET_PROXY_NAME: o nome do proxy de destino.
    • CERTIFICATE_MAP_NAME: o nome do mapa de certificado que faz referência à entrada do mapa de certificado e ao certificado associado.

  2. Aguarde até que a mudança de configuração seja aplicada e o balanceador de carga comece a veicular o novo certificado. Isso costuma levar alguns minutos, mas pode demorar até 30 minutos.

Seus certificados são migrados. Se você notar problemas com seu tráfego, desvincule o novo mapa de certificados do proxy de destino. Isso reverte o balanceador de carga para a configuração original.

A seguir