In dieser Anleitung erfahren Sie, wie Sie mit dem Zertifikatmanager ein regionales von Google verwaltetes Zertifikat mit dem Certificate Authority Service für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer bereitstellen.
Wenn Sie globale externe Load Balancer oder regionenübergreifende Load Balancer bereitstellen möchten, lesen Sie die folgenden Informationen:
CA Service-Integration mit Certificate Manager konfigurieren
So integrieren Sie den CA-Dienst in Certificate Manager:
Erstellen Sie im Zielprojekt Google Cloud ein Certificate Manager-Dienstkonto:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDErsetzen Sie
PROJECT_IDdurch die ID desGoogle Cloud Zielprojekts.Der Befehl gibt den Namen der erstellten Dienstidentität zurück. Sehen Sie sich folgendes Beispiel an:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Weisen Sie dem Certificate Manager-Dienstkonto im Ziel-CA-Pool die Rolle CA Service-Zertifikatsanfragesteller (
roles/privateca.certificateRequester) zu:gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterErsetzen Sie Folgendes:
CA_POOL: die ID des Ziel-CA-Pools.LOCATION: der Ziel Google Cloud standort.SERVICE_ACCOUNT: Der vollständige Name des Dienstkontos, das Sie in Schritt 1 erstellt haben.
Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für Ihren CA-Pool:
Console
Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.
Klicken Sie auf Erstellen. Die Seite Konfiguration der Zertifikatsausstellung erstellen wird angezeigt.
Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration zur Zertifikatausstellung ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausstellungs-Konfiguration ein.
Wählen Sie als Standort die Option Regional aus.
Wählen Sie unter Region dieselbe Region wie für Ihr Zertifikat und Ihren CA-Pool aus.
Optional: Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen an. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
Optional: Geben Sie unter Rotation window percentage (Prozentsatz des Rotationszeitraums) den Prozentsatz der Lebensdauer des Zertifikats an, ab dem die Verlängerung beginnt. Informationen zum gültigen Wertebereich finden Sie unter Prozentsatz für Lebensdauer und Rotationszeitraum.
Optional: Wählen Sie in der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.
Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, der dieser Konfigurationsressource für die Zertifikatausstellung zugewiesen werden soll.
Geben Sie im Feld Labels Labels an, die dem Zertifikat zugewiesen werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.
Klicken Sie auf Erstellen.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATIONErsetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME: der Name der Ressource für die Konfiguration der Zertifikatausstellung.CA_POOL: Der vollständige Ressourcenpfad und ‑name des CA-Pools, den Sie dieser Ressource für die Konfiguration der Zertifikatsausstellung zuweisen möchten.LOCATION: der Ziel Google Cloud standort. Sie müssen denselben Standort wie für den CA-Pool und das Zertifikat angeben.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfigurationsressourcen für die Zertifikatsausstellung verwalten.
Von Ihrer CA Service-Instanz ausgestelltes, von Google verwaltetes Zertifikat erstellen
So erstellen Sie ein von Google verwaltetes Zertifikat, das von Ihrer CA Service-Instanz ausgestellt wurde:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie als Standort die Option Regional aus.
Wählen Sie in der Liste Region Ihre Region aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Zertifizierungsstellentyp die Option Privat aus.
Geben Sie im Feld Domain Names (Domainnamen) eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.
myorg.example.com.Wählen Sie für Konfiguration für Zertifikatsausstellung auswählen den Namen der Konfigurationsressource für die Zertifikatsausstellung aus, die auf den Ziel-CA-Pool verweist.
Geben Sie im Feld Labels Labels an, die dem Zertifikat zugewiesen werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.
Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
gcloud
Verwenden Sie zum Erstellen eines regionalen von Google verwalteten Zertifikats mit dem Certificate Authority Service den Befehl certificate-manager certificates create mit dem Flag issuance-config:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config="ISSUANCE_CONFIG_NAME" \
--location="LOCATION"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME: der Name des Zertifikats.DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com.ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.LOCATION: der Ziel Google Cloud standort. Sie müssen denselben Standort wie für den CA-Pool, die Ressource für die Konfiguration der Zertifikatausstellung und das verwaltete Zertifikat angeben.
API
Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
},
}
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud Projekts.LOCATION: der Ziel Google Cloud standort. Sie müssen denselben Standort wie für den CA-Pool, die Ressource für die Konfiguration der Zertifikatausstellung und das verwaltete Zertifikat angeben.CERTIFICATE_NAME: der Name des Zertifikats.DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com.ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
Status des Zertifikats prüfen
Prüfen Sie vor der Bereitstellung eines Zertifikats auf einem Load Balancer, ob es aktiv ist. Es kann einige Minuten dauern, bis sich der Zertifikatstatus in ACTIVE ändert.
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.
Sehen Sie sich auf dem Tab Zertifikate die Spalte Status für das Zertifikat an.
gcloud
Führen Sie den folgenden Befehl aus, um den Status des Zertifikats zu prüfen:
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
--location=LOCATION
Ersetzen Sie Folgendes:
CERTIFICATE_NAME: der Name des Zertifikats.LOCATION: Der Google Cloud Zielort, an dem Sie das von Google verwaltete Zertifikat erstellt haben.
Die Ausgabe sieht etwa so aus:
createTime: '2021-10-20T12:19:53.370778666Z' expireTime: '2022-05-07T05:03:49Z' managed: domains: - myorg.example.com issuanceConfig: projects/myproject/locations/LOCATION/issuanceConfigs/myissuanceConfig state: ACTIVE name: projects/myproject/locations/LOCATION/certificates/mycertificate pemCertificate: | -----BEGIN CERTIFICATE----- [...] -----END CERTIFICATE----- sanDnsnames: - myorg.example.com updateTime: '2021-10-20T12:19:55.083385630Z'
Weitere Schritte zur Fehlerbehebung finden Sie unter Fehlerbehebung für Certificate Manager.
Regionales von Google verwaltetes Zertifikat für einen Load-Balancer bereitstellen
Wenn Sie das regionale von Google verwaltete Zertifikat bereitstellen möchten, hängen Sie es direkt an den Zielproxy an.
Zertifikat direkt an den Zielproxy anhängen
Sie können das Zertifikat an einen neuen oder vorhandenen Zielproxy anhängen.
Verwenden Sie den Befehl gcloud compute
target-https-proxies create, um das Zertifikat an einen neuen Zielproxy anzuhängen:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-manager-certificates=CERTIFICATE_NAME \
--url-map=URL_MAP \
--region=LOCATION
Ersetzen Sie Folgendes:
PROXY_NAME: der Name des Zielproxys.CERTIFICATE_NAME: der Name des Zertifikats.URL_MAPist der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load-Balancers erstellt.LOCATION: Der Google Cloud Zielort, an dem Sie den HTTPS-Zielproxy erstellen möchten.
Verwenden Sie den Befehl gcloud
compute target-https-proxies update, um ein Zertifikat an einen vorhandenen Ziel-HTTPS-Proxy anzuhängen. Wenn Sie den Namen des vorhandenen Zielproxys nicht kennen, rufen Sie die Seite Zielproxys auf und notieren Sie sich den Namen des Zielproxys.
gcloud compute target-https-proxies update PROXY_NAME \
--region=LOCATION \
--certificate-manager-certificates=CERTIFICATE_NAME
Führen Sie nach dem Erstellen oder Aktualisieren des Zielproxys den folgenden Befehl aus, um ihn zu prüfen:
gcloud compute target-https-proxies list
Fehlerbehebung bei Zertifikaten, die von CA Service ausgestellt wurden
Schritte zur Fehlerbehebung finden Sie unter Probleme mit Zertifikaten, die von einer CA Service-Instanz ausgestellt wurden.
Bereinigen
Löschen Sie die in dieser Anleitung verwendeten Ressourcen, um zu vermeiden, dass Ihrem Google Cloud Konto dafür Gebühren berechnet werden.
Löschen Sie den Load-Balancer und die zugehörigen Ressourcen.
Löschen Sie das von Google verwaltete Zertifikat:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.
Klicken Sie auf dem Tab Zertifikate das Kästchen des Zertifikats an.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ --location=LOCATIONErsetzen Sie Folgendes:
CERTIFICATE_NAME: der Name des Zertifikats.LOCATION: der Ziel Google Cloud standort.
Löschen Sie die Konfigurationsressource für die Zertifikatsausstellung:
Console
Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.
Klicken Sie das Kästchen neben der Ressource für die Ausstellungskonfiguration an, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME \ --location=LOCATIONErsetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.LOCATION: der Ziel Google Cloud standort.
Löschen Sie den CA-Pool.
Wenn Sie den CA-Pool löschen oder die letzte aktivierte CA in einem CA-Pool deaktivieren möchten, auf den in einer Konfiguration für die Zertifikatsausstellung verwiesen wird, löschen Sie alle Konfigurationen für die Zertifikatsausstellung, in denen auf den CA-Pool verwiesen wird. Weitere Informationen finden Sie unter CA-Pool löschen.