ロードバランサ認証を使用してグローバル Google マネージド証明書をデプロイする

ロードバランサの承認で Google マネージド証明書を作成する

ロードバランサ認証を使用して Google マネージド証明書を作成するには、次の操作を行います。

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

証明書をロードバランサにデプロイする

グローバル Google マネージド証明書をデプロイするには、証明書マップを使用します。

証明書マップを作成する

証明書に関連付けられた証明書マップエントリを参照する証明書マップを作成します。

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

resource "google_certificate_manager_certificate_map" "certificate_map" {
  name        = "${local.name}-certmap-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

証明書マップエントリを作成する

証明書マップエントリを作成し、証明書と証明書マップに関連付けます。

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME" \
    --hostname="HOSTNAME"

resource "google_certificate_manager_certificate_map_entry" "first_entry" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = local.domain
}

resource "google_certificate_manager_certificate_map_entry" "second_entry" {
  name        = "${local.name}-second-entity-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.certificate_map.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.root_cert.id]
  hostname     = "*.${local.domain}"
}

証明書マップエントリが有効であることを確認する

証明書マップエントリに対応する証明書マップをターゲット プロキシに接続する前に、証明書マップエントリが有効であることを確認します。

証明書マップエントリを確認するには、gcloud certificate-manager maps entries describe コマンドを使用します。

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

以下を置き換えます。

• CERTIFICATE_MAP_ENTRY_NAME: 証明書マップ エントリの名前。
• CERTIFICATE_NAME: 証明書マップエントリに関連付ける証明書の名前。

出力は次のようになります。

certificates:
createTime: '2021-09-06T10:01:56.229472109Z'
hostname: example.com
name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry
state: ACTIVE
updateTime: '2021-09-06T10:01:58.277031787Z'

証明書マップをターゲット プロキシに添付する

証明書マップは、新しいターゲット プロキシまたは既存のターゲット プロキシに接続できます。

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --url-map="URL_MAP" \
    --global

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME" \
    --global

gcloud compute target-https-proxies list

ターゲット プロキシを構成するときに、TLS（SSL）証明書を直接添付し、証明書マップを介して添付すると、プロキシは証明書マップで参照される証明書を使用し、直接添付された TLS（SSL）証明書を無視します。

証明書のステータスを確認する

証明書をロードバランサにデプロイする前に、証明書が有効であることを確認します。証明書の状態が ACTIVE に変わるまで数分かかることがあります。

gcloud certificate-manager certificates describe CERTIFICATE_NAME

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

数時間経っても証明書の状態が ACTIVE にならない場合は、次の点を確認してください。

• 証明書を参照する証明書マップが正しいターゲット プロキシに添付されている。
• ターゲット プロキシが正しいロードバランサにアタッチされている。
• ターゲット ドメインの DNS 構成がターゲット ロードバランサの IP アドレスを指している。

その他のトラブルシューティングの手順については、Certificate Manager のトラブルシューティングをご覧ください。

クリーンアップ

このチュートリアルで使用したリソースについて Google Cloud アカウントに課金されないようにするには、リソースを削除します。

1. ロードバランサとそのリソースを削除します。

   詳細については、ロード バランシングの設定をクリーンアップするをご覧ください。

2. 証明書マップを削除するか、プロキシから切断します。

   証明書マップを削除するには、次のコマンドを実行します。

   gcloud compute target-https-proxies delete PROXY_NAME
   

   ターゲット HTTPS プロキシを保持する場合は、証明書マップをプロキシから切り離します。

   • プロキシに直接 TLS（SSL）証明書が添付されている場合、証明書マップを切断すると、プロキシは直接添付された TLS（SSL）証明書を使用して再開します。
   • プロキシに直接 TLS（SSL）証明書が添付されていない場合、証明書マップをプロキシから切断することはできません。証明書マップを切断するには、まず少なくとも 1 つの TLS（SSL）証明書をプロキシに直接添付する必要があります。

   証明書マップを切断するには、次のコマンドを実行します。

   gcloud compute target-https-proxies update PROXY_NAME \
       --clear-certificate-map
   

   PROXY_NAME は、ターゲット プロキシの名前に置き換えます。

3. 証明書マップから証明書マップエントリを削除します。

   gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
       --map="CERTIFICATE_MAP_NAME"
   

   以下を置き換えます。

   • CERTIFICATE_MAP_ENTRY_NAME: 証明書マップ エントリの名前。
   • CERTIFICATE_MAP_NAME: 証明書マップの名前。

4. 証明書マップを削除します。

   gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
   

   CERTIFICATE_MAP_NAME は、証明書マップの名前に置き換えます。

5. Google マネージド証明書を削除します。

   コンソール

   1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

      Certificate Manager に移動

   2. [証明書] タブで、証明書のチェックボックスをオンにします。

   3. [削除] をクリックします。

   4. 表示されたダイアログで、[削除] をクリックして確定します。

   gcloud

   gcloud certificate-manager certificates delete CERTIFICATE_NAME
   

   CERTIFICATE_NAME は、ターゲット証明書の名前に置き換えます。