Sertifikat SSL yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri. Anda dapat menggunakan resource ini untuk mengamankan komunikasi antara klien dan load balancer Anda.
Sertifikat yang dikelola sendiri dapat berupa kombinasi jenis sertifikat berikut:
- Validasi Domain (DV)
- Validasi Organisasi (OV)
- Validasi yang Diperluas (EV)
Sertifikat yang dikelola sendiri didukung dengan load balancer berikut:
- Sertifikat global
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Jaringan proxy eksternal (dengan proxy SSL target)
- Sertifikat regional
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi internal regional
Halaman ini menjelaskan proses mendapatkan sertifikat Compute Engine yang valid, lalu mengupload sertifikat Anda untuk membuat resource sertifikat SSL Google Cloud.
Untuk membuat sertifikat yang dikelola Google menggunakan Pengelola Sertifikat, lihat Ringkasan deployment.
Sebelum memulai
- Pastikan Anda memahami ringkasan sertifikat SSL.
- Pastikan Anda memiliki nama domain yang ingin digunakan untuk sertifikat SSL yang dikelola sendiri. Jika Anda menggunakan Cloud Domains, lihat Langkah 1: Daftarkan nama domain menggunakan Cloud Domains.
Izin
Untuk melakukan tugas dalam panduan ini, Anda harus dapat membuat dan mengubah sertifikat SSL di project Anda. Anda dapat melakukannya jika salah satu hal berikut benar:
- Anda adalah Pemilik atau Editor project (
roles/owner
atauroles/editor
). - Anda memiliki peran Compute Security Admin (
compute.securityAdmin
) dan peran Compute Network Admin (compute.networkAdmin
) dalam project. - Anda memiliki peran khusus untuk project yang mencakup izin
compute.sslCertificates.*
dan salah satu atau kedua izincompute.targetHttpsProxies.*
dancompute.targetSslProxies.*
, bergantung pada jenis load balancer yang Anda gunakan.
Langkah 1: Buat kunci pribadi dan sertifikat
Jika Anda sudah memiliki kunci pribadi dan sertifikat dari certificate authority (CA), lewati bagian ini dan buka Membuat resource sertifikat SSL.
Memilih atau membuat kunci pribadi
Sertifikat SSL mencakup kunci pribadi dan sertifikat itu sendiri, keduanya dalam format PEM. Google Cloud Kunci pribadi Anda harus memenuhi kriteria berikut:
- Harus dalam format PEM.
- Kunci ini tidak dapat dilindungi dengan frasa sandi. Google Cloud menyimpan kunci pribadi Anda dalam format terenkripsi miliknya sendiri.
- Algoritma enkripsinya harus RSA atau ECDSA. Untuk mengetahui jenis kunci yang dapat Anda gunakan, lihat Jenis kunci yang didukung.
Untuk membuat kunci pribadi baru, gunakan salah satu perintah OpenSSL berikut.
Buat kunci pribadi RSA-2048:
openssl genrsa -out PRIVATE_KEY_FILE 2048
Buat kunci pribadi ECDSA P-256:
openssl ecparam -name prime256v1 -genkey -noout -out PRIVATE_KEY_FILE
Ganti PRIVATE_KEY_FILE dengan jalur dan nama file untuk file kunci pribadi baru.
Buat permintaan penandatanganan sertifikat (CSR)
Setelah memiliki kunci pribadi, Anda dapat membuat permintaan penandatanganan sertifikat (CSR) dalam format PEM menggunakan OpenSSL. CSR Anda harus memenuhi kriteria berikut:
- Setelan tersebut harus dalam format PEM.
- Harus memiliki nama umum (
CN
) atau atribut nama alternatif subjek (SAN
). Secara praktis, sertifikat Anda harus berisi atributCN
danSAN
, meskipun sertifikat tersebut ditujukan untuk satu domain—klien modern, seperti versi macOS dan iOS saat ini tidak hanya mengandalkan atributCN
.
Untuk membuat CSR, ikuti langkah-langkah berikut:
Buat file konfigurasi OpenSSL. Dalam contoh berikut, nama alternatif subjek ditentukan dalam
[sans_list]
.cat <<'EOF' >CONFIG_FILE [req] default_bits = 2048 req_extensions = extension_requirements distinguished_name = dn_requirements prompt = no [extension_requirements] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @sans_list [dn_requirements] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) 0.organizationName = Organization Name (eg, company) organizationalUnitName = Organizational Unit Name (eg, section) commonName = Common Name (e.g. server FQDN or YOUR name) emailAddress = Email Address [sans_list] DNS.1 = SUBJECT_ALTERNATIVE_NAME_1 DNS.2 = SUBJECT_ALTERNATIVE_NAME_2 EOF
Jalankan perintah OpenSSL berikut untuk membuat file permintaan penandatanganan sertifikat (CSR). Perintah ini bersifat interaktif; Anda akan diminta untuk memasukkan atribut kecuali nama alternatif subjek, yang Anda tentukan di
[sans_list]
CONFIG_FILE pada langkah sebelumnya.openssl req -new -key PRIVATE_KEY_FILE \ -out CSR_FILE \ -config CONFIG_FILE
Untuk kedua langkah, ganti opsi berikut:
- CONFIG_FILE: jalur, termasuk nama file, untuk file konfigurasi OpenSSL (Anda dapat menghapus file setelah menyelesaikan prosedur ini)
SUBJECT_ALTERNATIVE_NAME_1 dan SUBJECT_ALTERNATIVE_NAME_2: Nama Alternatif Subjek untuk sertifikat Anda
Jika sertifikat Anda hanya untuk satu nama host, Anda hanya boleh menentukan satu nama alternatif subjek yang cocok dengan Nama Umum. Jika Anda memerlukan lebih dari dua nama alternatif subjek, tambahkan ke file konfigurasi, dengan menaikkan angka setelah
DNS
(DNS.3
,DNS.4
, dll.).PRIVATE_KEY_FILE: jalur ke file kunci pribadi
CSR_FILE: jalur, termasuk nama file, untuk CSR
Tanda tangani CSR
Saat menandatangani CSR Anda, Certificate Authority (CA) menggunakan kunci pribadinya sendiri untuk membuat sertifikat. Gunakan salah satu metode berikut untuk menandatangani CSR:
Menggunakan CA yang dipercaya secara publik
Jika Anda meminta CA tepercaya publik untuk menandatangani CSR Anda, sertifikat yang dihasilkan akan dipercaya oleh semua klien yang memercayai CA publik tersebut. Untuk membuat sertifikat yang ditandatangani, CA publik hanya memerlukan CSR Anda.
Menggunakan CA internal Anda sendiri
Jika mengelola CA sendiri, Anda dapat menggunakannya untuk menandatangani CSR Anda. Menggunakan CA Anda untuk menandatangani CSR akan membuat sertifikat yang dipercaya secara internal jika klien Anda juga telah dikonfigurasi untuk memercayai CA Anda sendiri.
Gunakan sertifikat yang ditandatangani sendiri
Jika Anda menggunakan kunci pribadi yang sama dengan yang Anda gunakan untuk membuat CSR guna menandatangani CSR, maka Anda telah membuat sertifikat yang ditandatangani sendiri. Anda hanya boleh menggunakan sertifikat yang ditandatangani sendiri untuk pengujian.
Google Cloud tidak mendukung verifikasi sisi klien untuk sertifikat server yang ditandatangani sendiri. Oleh karena itu, Anda harus mengonfigurasi klien untuk melewati validasi sertifikat. Misalnya, Anda dapat membuat klien browser web yang menampilkan pesan yang menanyakan apakah Anda ingin memercayai sertifikat yang ditandatangani sendiri.
Jika Anda mengelola CA sendiri, atau jika Anda ingin membuat sertifikat yang ditandatangani sendiri untuk pengujian, Anda dapat menggunakan perintah OpenSSL berikut:
openssl x509 -req \ -signkey PRIVATE_KEY_FILE \ -in CSR_FILE \ -out CERTIFICATE_FILE \ -extfile CONFIG_FILE \ -extensions extension_requirements \ -days TERM
Ganti kode berikut:
- PRIVATE_KEY_FILE: jalur ke kunci pribadi untuk CA Anda; jika membuat sertifikat yang ditandatangani sendiri untuk pengujian, kunci pribadi ini sama dengan yang digunakan untuk membuat CSR
- CSR_FILE: jalur ke CSR
- CERTIFICATE_FILE: jalur ke file sertifikat yang akan dibuat
- TERM: jumlah hari, mulai sekarang, selama sertifikat harus dianggap valid oleh klien yang memverifikasinya
Karakter pengganti dalam nama umum
Sertifikat SSL yang dikelola sendiri dapat menggunakan karakter pengganti di nama umumnya. Misalnya, sertifikat dengan nama umum *.example.com.
cocok dengan nama host www.example.com
dan foo.example.com
, tetapi tidak cocok dengan a.b.example.com
atau example.com
. Saat memilih sertifikat, load balancer selalu lebih memilih untuk mencocokkan nama host dengan sertifikat tanpa karakter pengganti daripada sertifikat dengan karakter pengganti.
Sertifikat dengan fragmen karakter pengganti, seperti f*.example.com
, tidak
didukung.
Langkah 2: Buat resource sertifikat SSL yang dikelola sendiri
Sebelum dapat membuat resource sertifikat SSL, Anda harus memiliki kunci pribadi dan sertifikat. Google Cloud Lihat Membuat kunci pribadi dan sertifikat jika Anda belum membuatnya atau mendapatkannya.
Setelah membuat sertifikat, Anda tidak dapat mengubah cakupannya dari global menjadi regional, atau dari regional menjadi global.
Konsol
Anda dapat menggunakan sertifikat SSL global di tab Sertifikat Klasik
di konsol Google Cloud .
Sertifikat SSL regional tidak dapat dibuat di konsol Google Cloud .
Gunakan gcloud
atau REST API.
- Buka tab Classic Certificate di konsol Google Cloud .
Buka Sertifikat Klasik - Klik Buat sertifikat SSL.
- Masukkan nama dan deskripsi opsional untuk sertifikat.
- Pilih Upload sertifikat saya.
- Tempelkan sertifikat Anda atau klik Upload untuk membuka file sertifikat Anda.
Anda dapat memilih untuk menyertakan rantai sertifikat CA dalam file yang sama dengan sertifikat. Google Cloud tidak memvalidasi rantai sertifikat untuk Anda – validasi adalah tanggung jawab Anda. - Tempelkan kunci pribadi Anda atau klik Upload untuk membuka file kunci pribadi Anda.
- Klik Buat.
gcloud
Untuk membuat sertifikat SSL global, gunakan perintah gcloud compute ssl-certificates
create
dengan flag --global
:
gcloud compute ssl-certificates create CERTIFICATE_NAME \ --certificate=CERTIFICATE_FILE \ --private-key=PRIVATE_KEY_FILE \ --global
Untuk membuat sertifikat SSL regional, gunakan perintah gcloud compute ssl-certificates
create
dengan flag --region
:
gcloud compute ssl-certificates create CERTIFICATE_NAME \ --certificate=CERTIFICATE_FILE \ --private-key=PRIVATE_KEY_FILE \ --region=REGION
Ganti kode berikut:
- CERTIFICATE_NAME: nama resource sertifikat yang akan dibuat
CERTIFICATE_FILE: jalur ke file sertifikat berformat PEM
Anda dapat memilih untuk menyertakan rantai sertifikat CA dalam file yang sama dengan sertifikat. Google Cloud tidak memvalidasi rantai sertifikat untuk Anda—validasi adalah tanggung jawab Anda.
PRIVATE_KEY_FILE: jalur ke kunci pribadi berformat PEM; kunci pribadi tidak boleh dilindungi dengan frasa sandi
REGION: jika berlaku, region untuk sertifikat SSL regional
Jika resource sertifikat ini ditujukan untuk Load Balancer Aplikasi internal atau Load Balancer Aplikasi eksternal regional, regionnya harus sama dengan region load balancer.
Java
Untuk menggunakan metode API, Anda harus membaca file sertifikat dan kunci pribadi terlebih dahulu, lalu membuat sertifikat SSL. Hal ini karena permintaan API harus menyertakan isi file.
Contoh berikut menunjukkan cara melakukannya dengan Java.
Untuk sertifikat SSL global, gunakan metode API sslCertificates.insert:
Untuk sertifikat SSL regional, gunakan metode API regionSslCertificates.insert:
Untuk contoh kode tambahan, lihat halaman referensi API.
Python
Untuk menggunakan metode API, Anda harus membaca file sertifikat dan kunci pribadi terlebih dahulu, lalu membuat sertifikat SSL. Hal ini karena permintaan API harus menyertakan isi file.
Contoh berikut menunjukkan cara melakukannya dengan Python.
Untuk sertifikat SSL global, gunakan metode API sslCertificates.insert:
Untuk sertifikat SSL regional, gunakan metode API regionSslCertificates.insert:
Untuk contoh kode tambahan, lihat halaman referensi API.
Langkah 3: Kaitkan sertifikat SSL dengan proxy target
Anda harus mengaitkan setidaknya satu sertifikat SSL dengan setiap proxy HTTPS atau SSL target. Anda dapat mengonfigurasi proxy target dengan maksimal jumlah maksimum sertifikat SSL per proxy HTTPS target atau proxy SSL target. Anda dapat mereferensikan beberapa sertifikat yang dikelola sendiri pada proxy target yang sama.
Konsol
Saat menggunakan konsol Google Cloud untuk mengedit load balancer yang ada, Anda akan otomatis mengaitkan sertifikat SSL dengan proxy target yang sesuai.
gcloud
Untuk mengaitkan sertifikat SSL global dengan proxy HTTPS target,
gunakan perintah gcloud compute target-https-proxies
update
dengan flag --global
dan --global-ssl-certificates
:
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --global \ --ssl-certificates=SSL_CERTIFICATE_LIST \ --global-ssl-certificates
Untuk mengaitkan sertifikat SSL global dengan proxy SSL target,
gunakan perintah gcloud compute target-ssl-proxies
update
:
gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --ssl-certificates=SSL_CERTIFICATE_LIST
Untuk mengaitkan sertifikat SSL regional dengan proxy HTTPS target,
gunakan perintah gcloud compute target-https-proxies
update
dengan tanda --region
dan --ssl-certificates-region
:
gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --region=REGION \ --ssl-certificates=SSL_CERTIFICATE_LIST \ --ssl-certificates-region=REGION
Ganti kode berikut:
TARGET_PROXY_NAME
: nama proxy target load balancerREGION
(jika berlaku): region untuk proxy target regional dan sertifikat SSL regional; region harus cocokSSL_CERTIFICATE_LIST
: daftar nama sertifikat SSLGoogle Cloud yang dipisahkan komaPastikan daftar sertifikat yang dirujuk mencakup semua sertifikat SSL lama yang valid serta sertifikat SSL baru. Perintah
gcloud compute target-ssl-proxies update
menggantikan nilai asli untuk--ssl-certificates
dengan nilai baru.
API
Untuk mengaitkan sertifikat SSL global dengan proxy HTTPS target, buat permintaan POST
ke metode
targetHttpsProxies.insert
, dengan mengganti PROJECT_ID
dengan ID project Anda.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy { "name": "l7-xlb-proxy", "urlMap": "projects/PROJECT_ID/global/urlMaps/l7-xlb-map", "sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME }
Untuk mengaitkan sertifikat SSL global dengan proxy HTTPS target, buat permintaan POST
ke metode
targetSslProxies.insert
, dengan mengganti PROJECT_ID
dengan ID project Anda.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetSslProxy { "name": "l7-ssl-proxy", "sslCertificates": /projectsPROJECT_IDglobal/sslCertificates/SSL_CERT_NAME }
Untuk mengaitkan sertifikat SSL regional dengan proxy HTTPS target, buat permintaan POST
ke
metode
targetHttpsProxies.insert
, dengan mengganti PROJECT_ID
dengan ID project Anda.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/targetHttpsProxy { "name": "l7-xlb-proxy", "urlMap": "projects/PROJECT_ID/global/urlMaps/l7-ilb-map", "region": "us-west1" "sslCertificates": /projectsPROJECT_IDregions/us-west1/sslCertificates/SSL_CERT_NAME }
Langkah 4: Perbarui data A dan AAAA DNS agar mengarah ke alamat IP load balancer
Di situs registrar, host DNS, atau ISP Anda (tempat data DNS Anda dikelola), tambahkan atau perbarui data A DNS (untuk IPv4) dan data AAAA DNS (untuk IPv6) untuk domain dan subdomain Anda agar mengarah ke alamat IP yang terkait dengan aturan atau aturan penerusan load balancer.
Jika Anda menggunakan Cloud DNS dan Cloud Domains, siapkan domain Anda dan perbarui server nama Anda.
Jika Anda menggunakan beberapa domain untuk satu sertifikat, Anda harus menambahkan atau memperbarui data DNS untuk semua domain dan subdomain agar semuanya mengarah ke alamat IP load balancer Anda.
Setelah menunggu propagasi DNS selesai,
Anda dapat memverifikasi penyiapan dengan menjalankan perintah dig
. Misalnya, anggap domain Anda adalah www.example.com
. Jalankan perintah dig
berikut:
dig www.example.com
; <<>> DiG 9.10.6 <<>> www.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;www.example.com. IN A ;; ANSWER SECTION: www.example.com. 1742 IN CNAME www.example.com.edgekey.net. www.example.com.edgekey.net. 21330 IN CNAME www.example.com.edgekey.net.globalredir.akadns.net. www.example.com.edgekey.net.globalredir.akadns.net. 3356 IN CNAME e6858.dsce9.akamaiedge.net. e6858.dsce9.akamaiedge.net. 19 IN A 203.0.113.5 ;; Query time: 43 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Wed Jun 03 16:54:44 PDT 2020 ;; MSG SIZE rcvd: 193
Dalam contoh ini, 203.0.113.5
adalah alamat IP load balancer Anda.
Langkah 5: Uji dengan OpenSSL
Load balancer Anda mungkin memerlukan waktu hingga 30 menit untuk mulai menggunakan sertifikat SSL yang dikelola sendiri.
Untuk menguji, jalankan perintah OpenSSL berikut, dengan mengganti DOMAIN dengan nama DNS Anda dan IP_ADDRESS dengan alamat IP load balancer Anda.
echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error
Perintah ini menampilkan sertifikat yang diberikan load balancer kepada klien. Selain informasi mendetail lainnya, output harus
mencakup rantai sertifikat dan Verify return code: 0 (ok)
.
Bekerja dengan sertifikat SSL yang dikelola sendiri
Bagian berikut menjelaskan cara mencantumkan, melihat, menghapus, dan mengganti resource sertifikat SSL.
Membuat daftar sertifikat SSL
Konsol
Anda dapat memeriksa status sertifikat SSL global di tab
Sertifikat Klasik di halaman Certificate Manager.
Sertifikat SSL regional tidak dapat dipertahankan di konsol Google Cloud .
Gunakan gcloud
atau REST API.
- Buka tab Classic Certificates di konsol Google Cloud .
Buka Sertifikat Klasik - (Opsional) Memfilter daftar sertifikat SSL.
gcloud
Untuk mencantumkan sertifikat SSL global, gunakan perintah gcloud compute ssl-certificates
list
dengan
flag --global
:
gcloud compute ssl-certificates list \ --global
Untuk mencantumkan sertifikat SSL regional, gunakan
perintah gcloud compute ssl-certificates
list
dengan
filter region
:
gcloud compute ssl-certificates list \ --filter="region:(REGION ...)"
Ganti kode berikut:
- REGION: region Google Cloud ; sertakan beberapa region sebagai daftar yang dipisahkan spasi
Mendeskripsikan sertifikat SSL
Konsol
Anda dapat melihat detail tambahan tentang sertifikat SSL global di tab Sertifikat Klasik di halaman Certificate Manager.
- Buka halaman Classic Certificates di konsol Google Cloud .
Buka Sertifikat Klasik - (Opsional) Memfilter daftar sertifikat SSL.
- Untuk melihat detail selengkapnya, klik nama sertifikat.
gcloud
Untuk mendeskripsikan sertifikat SSL global, gunakan perintah gcloud compute ssl-certificates
describe
dengan tanda --global
:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --global
Untuk mendeskripsikan sertifikat SSL regional, gunakan perintah gcloud compute ssl-certificates
describe
dengan flag --region
:
gcloud compute ssl-certificates describe CERTIFICATE_NAME \ --region=REGION
Ganti kode berikut:
- CERTIFICATE_NAME: nama sertifikat SSL
- REGION: a Google Cloud region
Hapus beberapa sertifikat SSL
Sebelum dapat menghapus sertifikat SSL, Anda harus memperbarui setiap proxy target yang mereferensikan sertifikat tersebut terlebih dahulu. Untuk setiap proxy target, jalankan perintah
gcloud update
yang sesuai untuk memperbarui SSL_CERTIFICATE_LIST proxy target sehingga tidak lagi menyertakan sertifikat SSL yang perlu Anda hapus. Setiap proxy SSL target atau proxy HTTPS target harus mereferensikan setidaknya satu sertifikat SSL.
Setelah memperbarui proxy target, Anda dapat menghapus sertifikat SSL.
Konsol
Anda dapat menghapus sertifikat SSL global di tab Classic Certificates di halaman Certificate Manager.
- Buka tab Classic Certificates di konsol Google Cloud .
Buka Sertifikat Klasik - Pilih sertifikat SSL yang ingin Anda hapus.
- Klik Delete.
- Untuk mengonfirmasi, klik Hapus lagi.
gcloud
Untuk menghapus sertifikat SSL global, gunakan perintah gcloud compute ssl-certificates
delete
dengan perintah --global
:
gcloud compute ssl-certificates delete CERTIFICATE_NAME \ --global
Untuk menghapus sertifikat SSL regional, gunakan perintah
gcloud compute ssl-certificates
delete
dengan perintah --region
:
gcloud compute ssl-certificates delete CERTIFICATE_NAME \ --region=REGION
Ganti kode berikut:
- CERTIFICATE_NAME: nama sertifikat SSL
- REGION: a Google Cloud region
Mengganti atau memperpanjang sertifikat SSL sebelum masa berlakunya berakhir
Ikuti langkah-langkah berikut jika Anda perlu mengganti, memperpanjang, atau merotasi sertifikat SSL:
Jalankan perintah
gcloud compute ssl-certificates describe
untuk sertifikat saat ini, guna memeriksa apakah masa berlakunya akan segera berakhir.Buat resource sertifikat SSL baru. Sertifikat SSL baru harus memiliki nama unik dalam project.
Perbarui proxy target untuk melepaskan sertifikat SSL lama dan menambahkan yang baru. Pastikan untuk menyertakan sertifikat SSL lain yang sudah ada dan ingin Anda pertahankan.
Untuk membantu menghindari periode nonaktif, jalankan satu perintah
gcloud
dengan flag--ssl-certificates
. Contoh:Untuk Load Balancer Aplikasi eksternal global:
Gunakan perintah
gcloud compute target-https-proxies update
dengan flag--global
.gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --global \ --ssl-certificates=new-ssl-cert,other-certificates \ --global-ssl-certificates
Untuk Load Balancer Aplikasi eksternal regional dan Load Balancer Aplikasi internal regional:
Gunakan perintah
gcloud compute target-https-proxies update
dengan flag--region
.gcloud compute target-https-proxies update TARGET_PROXY_NAME \ --region=REGION \ --ssl-certificates=new-ssl-cert,other-certificates \ --ssl-certificates-region=REGION
Untuk Load Balancer Jaringan proxy eksternal:
Gunakan perintah
gcloud compute target-ssl-proxies update
dengan flag--backend-service
.gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \ --ssl-certificates=new-ssl-cert,other-certificates
Pastikan load balancer menyalurkan sertifikat pengganti dengan menjalankan perintah OpenSSL berikut:
echo | openssl s_client -showcerts -connect IP_ADDRESS:443 -verify 99 -verify_return_error
Tunggu 15 menit untuk memastikan bahwa operasi penggantian telah diterapkan ke semua Google Front End (GFE).
(Opsional) Hapus sertifikat SSL lama.
Merotasi sertifikat SSL secara berkala
Solusi contoh ini secara berkala memeriksa status sertifikat yang digunakan dengan load balancer Google Cloud dan mengganti sertifikat saat sertifikat mencapai persentase tertentu dari masa pakainya. Alat ini menggunakan CA yang dikonfigurasi menggunakan Certificate Authority Service.
Solusi ini berfungsi dengan load balancer berikut:
- Load Balancer Aplikasi eksternal global
- Load Balancer Aplikasi Klasik
- Load Balancer Aplikasi eksternal regional
- Load Balancer Aplikasi Internal
- Load Balancer Jaringan proxy eksternal dengan proxy SSL
Langkah berikutnya
- Untuk memecahkan masalah sertifikat SSL, lihat Memecahkan masalah sertifikat SSL.