Esegui il deployment di un certificato gestito da Google globale con autorizzazione del bilanciatore del carico

Questo tutorial mostra come utilizzare Certificate Manager per eseguire il deployment di un certificato globale gestito da Google con l'autorizzazione del bilanciatore del carico.

L'autorizzazione del bilanciatore del carico ti consente di ottenere un certificato gestito da Google per il tuo dominio quando il traffico viene gestito dal bilanciatore del carico. Questo metodo non richiede record DNS aggiuntivi per il provisioning dei certificati.

I seguenti bilanciatori del carico supportano i certificati gestiti da Google con l'autorizzazione del bilanciatore del carico:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico
  • Bilanciatore del carico di rete proxy esterno globale
  • Bilanciatore del carico di rete proxy classico

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Crea un certificato gestito da Google emesso da un'autorità di certificazione (CA) attendibile pubblicamente con l'autorizzazione del bilanciatore del carico utilizzando Certificate Manager.
  • Esegui il deployment del certificato in un bilanciatore del carico supportato utilizzando un proxy HTTPS di destinazione.

Se esegui il deployment di un certificato in un dominio di produzione, il traffico viene interrotto brevemente durante la configurazione e l'attivazione del certificato sul bilanciatore del carico.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Installa Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

Ruoli obbligatori

Per completare le attività di questo tutorial, assicurati di disporre dei seguenti ruoli:

  • Certificate Manager Owner (roles/certificatemanager.owner)

    Necessario per creare e gestire le risorse di Certificate Manager.

  • Amministratore bilanciatore del carico Compute (roles/compute.loadBalancerAdmin) o Compute Network Admin (roles/compute.networkAdmin)

    Obbligatorio per creare e gestire il proxy HTTPS di destinazione.

  • DNS Administrator (roles/dns.admin)

    Obbligatorio se vuoi utilizzare Cloud DNS come soluzione DNS.

Per ulteriori informazioni, consulta le seguenti risorse:

Nomi di dominio

Per creare certificati, recupera i nomi di dominio completi (FQDN) dei domini di tua proprietà. Se non hai un dominio, puoi utilizzare Cloud Domains per registrarne uno.

Crea il bilanciatore del carico

Questo tutorial presuppone che tu abbia già creato e configurato i backend, i controlli di integrità, i servizi di backend e le mappe URL del bilanciatore del carico. Se hai creato un bilanciatore del carico delle applicazioni esterno, prendi nota del nome della mappa URL perché ti servirà più avanti in questo tutorial.

Se non hai creato il bilanciatore del carico, consulta le seguenti pagine per crearne uno:

Crea un certificato gestito da Google con l'autorizzazione del bilanciatore del carico

Per creare un certificato gestito da Google con l'autorizzazione del bilanciatore del carico:

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione del certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale.

  6. In Ambito, seleziona Predefinito.

  7. In Tipo di certificato, seleziona Crea un certificato gestito da Google.

  8. Per Tipo di autorità di certificazione, seleziona Pubblica.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  10. In Tipo di autorizzazione, seleziona Autorizzazione del bilanciatore del carico.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google globale con l'autorizzazione del bilanciatore del carico, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Terraform

Utilizza una risorsa google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Esegui il deployment del certificato su un bilanciatore del carico

Per eseguire il deployment del certificato globale gestito da Google, utilizza una mappa dei certificati.

Creare una mappa di certificati

Crea una mappa di certificati che faccia riferimento alla voce mappa di certificati associata al tuo certificato:

gcloud

Per creare una mappa di certificati, utilizza il comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa dei certificati di destinazione.

Terraform

Per creare una mappa dei certificati, puoi utilizzare una risorsa google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Crea una voce della mappa dei certificati

Crea una voce della mappa dei certificati e associala al certificato e alla mappa dei certificati:

gcloud

Per creare una voce della mappa dei certificati, utilizza il comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_NAME: il nome del certificato che vuoi associare alla voce della mappa dei certificati.

  • HOSTNAME: il nome host che vuoi associare alla voce della mappa dei certificati.

    Se vuoi creare un certificato che copra sia un dominio jolly sia un dominio principale, specifica il nome host con un dominio principale e un jolly, ad esempio example.com e *.example.com. Inoltre, devi specificare due voci della mappa dei certificati: una per example.com e l'altra per *.example.com.

Terraform

Per creare una voce della mappa dei certificati con un dominio principale, utilizza una risorsa google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

Per creare una voce della mappa dei certificati con un dominio jolly, utilizza una risorsa google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

Verifica che la voce della mappa dei certificati sia attiva

Verifica che la voce della mappa dei certificati sia attiva prima di collegare la mappa dei certificati corrispondente al proxy di destinazione.

Per verificare la voce della mappa dei certificati, utilizza il comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_NAME: il nome del certificato che vuoi associare alla voce della mappa dei certificati.

L'output è simile al seguente:

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

Collega la mappa dei certificati al proxy di destinazione

Puoi collegare la mappa dei certificati a un nuovo proxy di destinazione o a uno esistente.

gcloud

Per collegare la mappa dei certificati a un nuovo proxy di destinazione, utilizza il comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

Sostituisci quanto segue:

  • PROXY_NAME: il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati che fa riferimento alla voce della mappa dei certificati e al certificato associato.
  • URL_MAP: il nome della mappa URL

Per collegare la mappa dei certificati a un proxy HTTPS di destinazione esistente, utilizza il comando gcloud compute target-https-proxies update. Se non conosci il nome del proxy di destinazione esistente, vai alla pagina Proxy di destinazione e annota il nome del proxy di destinazione.

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

Dopo aver creato o aggiornato il proxy di destinazione, esegui questo comando per verificarlo:

gcloud compute target-https-proxies list

Terraform

Per collegare la mappa dei certificati al proxy di destinazione, puoi utilizzare una risorsa google_compute_target_https_proxy.

Quando configuri un proxy di destinazione, se colleghi i certificati TLS (SSL) direttamente e anche tramite una mappa dei certificati, il proxy utilizza i certificati a cui fa riferimento la mappa dei certificati e ignora i certificati TLS (SSL) collegati direttamente.

Verifica lo stato del certificato

Prima di eseguire il deployment di un certificato in un bilanciatore del carico, verifica che sia attivo. Potrebbero essere necessari diversi minuti prima che lo stato del certificato diventi ACTIVE.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, controlla la colonna Stato del certificato.

gcloud

Per verificare lo stato del certificato, esegui questo comando:

gcloud certificate-manager certificates describe CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del certificato gestito da Google di destinazione.

L'output è simile al seguente:

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

Se lo stato del certificato non è ACTIVE dopo diverse ore, controlla quanto segue:

Per ulteriori passaggi per la risoluzione dei problemi, consulta Risolvere i problemi di Certificate Manager.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, eliminale.

  1. Elimina il bilanciatore del carico e le relative risorse.

    Per ulteriori informazioni, consulta Eseguire la pulizia di una configurazione del bilanciamento del carico.

  2. Elimina o scollega la mappa dei certificati dal proxy.

    Per eliminare la mappa dei certificati, esegui questo comando:

    gcloud compute target-https-proxies delete PROXY_NAME

    Se vuoi mantenere il proxy HTTPS di destinazione, scollega la mappa dei certificati dal proxy.

    • Se al proxy sono collegati direttamente certificati TLS (SSL), il distacco della mappa dei certificati fa sì che il proxy riprenda a utilizzare questi certificati TLS (SSL) collegati direttamente.
    • Se non sono collegati direttamente al proxy certificati TLS (SSL), la mappa dei certificati non può essere scollegata dal proxy. Prima di poter scollegare la mappa dei certificati, devi collegare almeno un certificato TLS (SSL) direttamente al proxy.

    Per scollegare la mappa dei certificati, esegui questo comando:

    gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

    Sostituisci PROXY_NAME con il nome del proxy di destinazione.

  3. Elimina la voce della mappa dei certificati dalla mappa dei certificati:

    gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

    Sostituisci quanto segue:

    • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
    • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati.

  4. Elimina la mappa dei certificati:

    gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

    Sostituisci CERTIFICATE_MAP_NAME con il nome della mappa dei certificati.

  5. Elimina il certificato gestito da Google:

    Console

    1. Nella console Google Cloud , vai alla pagina Certificate Manager.

      Vai a Certificate Manager

    2. Nella scheda Certificati, seleziona la casella di controllo del certificato.

    3. Fai clic su Elimina.

    4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

    gcloud 

    gcloud certificate-manager certificates delete CERTIFICATE_NAME

    Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

Passaggi successivi