Questo tutorial illustra il processo di deployment dei certificati utilizzando un certificato gestito da Google con Certificate Authority Service come esempio.
I seguenti bilanciatori del carico supportano i certificati gestiti da Google con il servizio CA:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico delle applicazioni classico
- Bilanciatore del carico delle applicazioni interno tra regioni
- Bilanciatore del carico di rete proxy esterno globale
Se sono in vigore criteri di emissione dei certificati sul pool di CA di destinazione, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:
- Il criterio di emissione del certificato ha bloccato il certificato richiesto. In questo caso, non ti verrà addebitato alcun costo poiché il certificato non è stato emesso.
- Il criterio ha applicato al certificato modifiche che non sono supportate da Gestore certificati. In questo caso, la fatturazione ti verrà comunque addebitata perché il certificato è stato emesso, anche se non è completamente compatibile con Gestore certificati.
I certificati emessi seguendo i passaggi di questo tutorial non sono considerati attendibili pubblicamente. Se vuoi emettere certificati attendibili pubblicamente, segui invece i passaggi descritti in uno dei seguenti tutorial:
- Eseguire il deployment di un certificato gestito da Google con autorizzazione DNS (tutorial)
- Esegui il deployment di un certificato gestito da Google con l'autorizzazione del bilanciatore del carico (tutorial)
Se vuoi eseguire la migrazione di un certificato esistente a Gestore certificati, segui i passaggi in Eseguire la migrazione dei certificati in Gestore certificati.
Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un Certificato TLS, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.
Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Crea un certificato gestito da Google con CA Service mediante Gestione certificati.
- Esegui il deployment del certificato su un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.
Per ulteriori informazioni sul processo di deployment dei certificati, consulta Panoramica del deployment.
Prima di iniziare
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Assicurati di disporre dei seguenti ruoli per completare le attività in questo tutorial:
- Proprietario del Gestore certificati:obbligatorio per creare e gestire le risorse del Gestore certificati.
- Amministratore bilanciatore del carico Compute o Amministratore rete Compute:è obbligatorio per creare e gestire il proxy di destinazione HTTPS.
- Amministratore Certificate Authority Service:obbligatorio per eseguire azioni all'interno del servizio CA.
Per ulteriori informazioni, consulta le seguenti risorse:
- Ruoli e autorizzazioni per Gestore certificati
- Ruoli e autorizzazioni IAM di Compute Engine per Compute Engine
- Autorizzazioni e ruoli per CA Service
Crea un pool di CA. Devi creare e attivare almeno una CA in questo pool di CA.
Configura l'integrazione del servizio CA con Gestore certificati
Configura Gestore certificati per l'integrazione con il servizio CA nel modo seguente:
Utilizza il seguente comando per creare un account di servizio Certificate Manager nel progetto Google Cloud di destinazione:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Sostituisci
PROJECT_ID
con l'ID del progetto Google Cloud di destinazione.Il comando restituisce il nome dell'identità del servizio creata. Vedi il seguente esempio:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Concedi all'account di servizio Gestore certificati il ruolo Richiedente del certificato in il pool di CA di destinazione nel seguente modo:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Sostituisci quanto segue:
CA_POOL
: l'ID del pool di CA di destinazione.REGION
: la regione Google Cloud di destinazione.SERVICE_ACCOUNT
: il nome completo dell'account di servizio che hai creato nel passaggio 1.
Crea una risorsa per la configurazione dell'emissione dei certificati per il pool di CA:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
: il nome univoco della risorsa di configurazione dell'emissione del certificato.CA_POOL
: il percorso completo e il nome della risorsa del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME
: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni in formato di durata standard. Il valore predefinito è 30 giorni (30D
). Questa impostazione è facoltativa.ROTATION_WINDOW_PERCENTAGE
: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativa.Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno sette giorni dopo la sua emissione e almeno sette giorni prima della scadenza.
KEY_ALGORITHM
: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256
orsa-2048
. Il valore predefinito èrsa-2048
. Questa impostazione è facoltativa.
Per saperne di più sulle configurazioni di emissione dei certificati, vedi Gestire le configurazioni dell'emissione dei certificati.
Crea un certificato gestito da Google emesso dalla tua istanza di CA Service
Crea un certificato gestito da Google emesso dalla tua istanza di CA Service come segue:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
Per Località, scegli Globale.
Per Ambito, scegli una delle seguenti opzioni:
- Predefinito: scegli l'impostazione predefinita per un Bilanciatore del carico delle applicazioni esterno globale, un Bilanciatore del carico delle applicazioni classico o un Bilanciatore del carico di rete proxy esterno globale
- Tutte le regioni: scegli tutte le regioni per un bilanciatore del carico delle applicazioni interno tra regioni
In Tipo di certificato, scegli Crea certificato gestito da Google.
Per Tipo di autorità di certificazione, scegli Privato.
Specifica i nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com
.Per Configurazione per l'emissione del certificato, seleziona il nome della risorsa di configurazione per l'emissione del certificato che fa riferimento al pool di CA di destinazione.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sul pulsante add_box Aggiungi etichetta e specifica un
key
e unvalue
per l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete con proxy esterno globale:
Esegui questo comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAMES
: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Per un bilanciatore del carico delle applicazioni interno tra regioni:
Esegui questo comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME \ --scope=all-regions
Sostituisci quanto segue:
CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAMES
: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
API
Crea il certificato inviando una richiesta POST
a certificates.create
come segue:
Per un bilanciatore del carico delle applicazioni esterno globale, un bilanciatore del carico delle applicazioni classico o un bilanciatore del carico di rete proxy esterno globale:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAME
: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento alla pool di CA di destinazione.
Per un bilanciatore del carico delle applicazioni interno tra regioni:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", "scope": "ALL_REGIONS" } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME
: un nome univoco del certificato.DOMAIN_NAME
: il dominio di destinazione per questo certificato . Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.
Verifica che il certificato sia attivo
Utilizza il comando seguente per verificare che il certificato stesso sia attivo prima
il deployment nel tuo bilanciatore del carico. Potrebbero essere necessari alcuni minuti prima che lo stato del certificato diventi ACTIVE
.
gcloud certificate-manager certificates describe CERTIFICATE_NAME
Sostituisci CERTIFICATE_NAME
con il nome del target
Certificato gestito da Google.
Il comando restituisce un output simile al seguente:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myProject/locations/global/certificateIssuanceConfigs/myIssuanceConfig state: ACTIVE name: projects/myProject/locations/global/certificates/myCert pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Esegui il deployment del certificato su un bilanciatore del carico
Questa sezione illustra i passaggi necessari per eseguire il deployment del certificato gestito da Google in un bilanciatore del carico.
Prima di procedere con le attività di questa sezione, assicurati di aver completato il elencate nelle sezioni Configurare l'integrazione del servizio CA con il gestore certificati e Creare un certificato gestito da Google emesso dall'istanza del servizio CA.
A seconda del tipo di bilanciatore del carico, puoi eseguire il deployment dei certificati come segue:
- Per i seguenti bilanciatori del carico, esegui il deployment del certificato utilizzando una mappa di certificati:
- Bilanciatore del carico delle applicazioni esterno globale
- Bilanciatore del carico di rete proxy esterno globale
- Bilanciatore del carico delle applicazioni classico
- Per il bilanciatore del carico delle applicazioni interno tra regioni, esegui il deployment del certificato allegandolo direttamente al proxy di destinazione.
Esegui il deployment del certificato utilizzando una mappa di certificati
Questa sezione descrive i passaggi per eseguire il deployment di un certificato utilizzando una mappa di certificati.
Crea una mappa di certificati
Crea una mappa di certificati che farà riferimento alla voce della mappa dei certificati associati al tuo certificato:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Sostituisci CERTIFICATE_MAP_NAME
con il nome della mappa di certificati di destinazione.
Crea una voce della mappa di certificati
Crea una voce della mappa di certificati e associala al tuo certificato e alla tua mappa di certificati:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: un nome univoco della voce della mappa di certificatiCERTIFICATE_MAP_NAME
: il nome del certificato mappa a cui questa voce di mappa di certificati si collegaCERTIFICATE_NAME
: il nome del certificato da associare a questa voce della mappa di certificatiHOSTNAME
: il nome host che vuoi associare con questa voce della mappa di certificati
Verifica che la voce della mappa di certificati sia attiva
Utilizza il seguente comando per verificare che la voce della mappa dei certificati sia attiva prima di allegare la mappa dei certificati corrispondente al proxy di destinazione:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: il nome del target voce mappa di certificatiCERTIFICATE_MAP_NAME
: il nome del certificato mappa a cui questa voce di mappa di certificati si collega
Il comando restituisce un output simile al seguente:
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
Collega la mappa di certificati al proxy di destinazione
Collega la mappa di certificati configurata al proxy di destinazione:
Nella console Google Cloud, vai alla pagina Proxy target.
Prendi nota del nome del proxy di destinazione.
Collega la mappa di certificati al proxy di destinazione:
gcloud compute target-https-proxies update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
PROXY_NAME
: il nome del proxy di destinazioneCERTIFICATE_MAP_NAME
: il nome della mappa di certificati fare riferimento alla voce della mappa di certificati e al certificato associato
Se esistono certificati TLS (SSL) esistenti collegati direttamente proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati tramite i certificati TLS (SSL) direttamente collegati.
Collega il certificato direttamente al proxy di destinazione
Per collegare il certificato direttamente al proxy, esegui questo comando:
gcloud compute target-https-proxies update PROXY_NAME \ --url-map=URL_MAP \ --global \ --certificate-manager-certificates=CERTIFICATE_NAME
Sostituisci quanto segue:
PROXY_NAME
: un nome univoco del proxy.URL_MAP
: il nome della mappa URL. La mappa URL è stata creata durante la creazione del bilanciatore del carico.CERTIFICATE_NAME
: il nome del certificato.
Risoluzione dei problemi
Per conoscere la procedura di risoluzione dei problemi, vedi Problemi relativi ai certificati emessi da un'istanza del servizio di CA.
Esegui la pulizia
Per annullare le modifiche apportate in questo tutorial, completa i seguenti passaggi passaggi:
Scollega la mappa di certificati dal proxy.
Prima di scollegare la mappa di certificati, tieni presente quanto segue:
- Se esistono certificati TLS (SSL) collegati direttamente al proxy, lo scollegamento della mappa di certificati fa sì che il proxy riprenda a utilizzarli direttamente certificati TLS (SSL) allegati.
- Se non sono presenti certificati TLS (SSL) collegati direttamente al proxy, la mappa dei certificati non può essere scollegata dal proxy. Devi prima collegare almeno un protocollo TLS (SSL) direttamente al proxy prima di scollegare la mappa di certificati.
Per scollegare la mappa di certificati, esegui questo comando:
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
Sostituisci
PROXY_NAME
con il nome del proxy di destinazione.Elimina la voce della mappa di certificati dalla mappa di certificati:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Sostituisci quanto segue:
CERTIFICATE_MAP_ENTRY_NAME
: il nome del voce mappa di certificati di destinazioneCERTIFICATE_MAP_NAME
: il nome della mappa di certificati di destinazione
Elimina la mappa di certificati:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Sostituisci
CERTIFICATE_MAP_NAME
con il nome del target mappa di certificati.Elimina il certificato gestito da Google:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Certificati, seleziona la casella di controllo della certificato.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Sostituisci
CERTIFICATE_NAME
con il nome del target certificato.Elimina la risorsa di configurazione dell'emissione dei certificati:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Configurazioni di emissione, seleziona la casella di controllo della configurazione di emissione.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Sostituisci
ISSUANCE_CONFIG_NAME
con il nome del target risorsa di configurazione dell'emissione dei certificati.Elimina il pool di CA come descritto in Eliminazione di un pool di CA.
Tieni presente che per disabilitare l'ultima CA che hai abilitato nel pool di CA a cui viene fatto riferimento nel dell'emissione dei certificati o per eliminare del tutto il pool di CA a cui viene fatto riferimento, devi elimina prima ogni configurazione di emissione dei certificati che fa riferimento a quel pool di CA.