DNS 認証を使用してリージョン Google マネージド証明書をデプロイする

このチュートリアルでは、Certificate Manager を使用して、 DNS 認証でリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにリージョン Google マネージド証明書を デプロイする方法について説明します。

グローバル外部ロードバランサまたはクロスリージョン ロードバランサにデプロイする場合は、以下をご覧ください。

目標

このチュートリアルでは、次のタスクを行う方法を説明します。

  • Certificate Manager を使用して、DNS 認証で公的に信頼できる証明書機関によって発行された Google マネージド証明書を作成します。リージョン Google マネージド証明書を作成するには、プロジェクトごとの DNS 認証を使用する必要があります。
  • ターゲット HTTPS プロキシを使用して、サポートされているロードバランサに証明書をデプロイします。

始める前に

  1. アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイに利用できる $300 分の無料クレジットも提供されます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Google Cloud CLI をインストールします。

  6. 外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  7. gcloud CLI を初期化するには、次のコマンドを実行します: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Google Cloud CLI をインストールします。

  12. 外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

  13. gcloud CLI を初期化するには、次のコマンドを実行します: 

    gcloud init
  14. パブリック DNS ゾーンを作成します

必要なロール

このチュートリアルのタスクを完了するための次のロールがあることを確認してください。

  • Certificate Manager オーナー(roles/certificatemanager.owner

    Certificate Manager リソースの作成と管理に必要です。

  • Compute ロードバランサ管理者(roles/compute.loadBalancerAdmin)または Compute ネットワーク管理者(roles/compute.networkAdmin

    HTTPS ターゲット プロキシの作成と管理に必要です。

  • DNS 管理者(roles/dns.admin

    DNS ソリューションとして Cloud DNS を使用する場合に必要です。

詳しくは以下をご覧ください。

ドメイン名

証明書を作成するには、所有しているドメインの完全修飾ドメイン名(FQDN)を取得します。ドメインがない場合は、Cloud Domains を使用してドメインを登録できます。

ロードバランサを作成する

このチュートリアルでは、ロードバランサのバックエンド、ヘルスチェック、バックエンド サービス、URL マップがすでに作成、構成されていることを前提としています。このチュートリアルの後半で必要になるため、URL マップの名前をメモしておきます。

リージョン Google が管理する証明書を作成する

証明書を作成する前に、パブリック DNS ゾーンを作成します。次に、DNS 認証を作成し、CNAME レコードをターゲット DNS ゾーンに追加します。

DNS 認証を作成する

重要: リージョン Google マネージド証明書の場合は、証明書と同じリージョンにリージョン DNS 認証を作成する必要があります。リージョン証明書でグローバル DNS 認証を使用することはできません。

DNS 認証は 1 つのドメイン名のみを対象とします。ターゲット証明書で使用するドメイン名ごとに、個別の DNS 認証を作成する必要があります。

ワイルドカード証明書(*.myorg.example.comなど)用の DNS 認証を作成する場合は、親ドメイン(myorg.example.comなど)の DNS 認証を構成します。

リージョン Google マネージド証明書の場合、作成できる DNS 認証のタイプは PER_PROJECT_RECORD のみです。

コンソール

DNS 認証を作成することも、証明書の作成時に既存の DNS 認証を添付することもできます。詳細については、 DNS 認証を参照する Google マネージド証明書を作成するをご覧ください。

gcloud

PER_PROJECT_RECORD DNS 認証を作成するには、次の gcloud certificate-manager dns-authorizations create コマンドを使用します。

gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
    --domain="DOMAIN_NAME" \
    --location="LOCATION"

以下を置き換えます。

  • AUTHORIZATION_NAME: DNS 認証の名前。
  • DOMAIN_NAME: この DNS 認証を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com など)にする必要があります。
  • LOCATION: DNS 認証を作成するターゲット Google Cloud ロケーション。us-central1 などの特定の対象地域を指定する必要があります。

PER_PROJECT_RECORD DNS 認証を作成したら、 gcloud certificate-manager dns-authorizations describe コマンドで確認します。

gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME \
    --location="LOCATION"

出力は次のようになります。出力で、dnsResourceRecord セクションを見つけます。CNAME レコードを見つけて、レコードの 詳細(datanametype)を DNS 構成に追加します。

createTime: '2022-01-14T13:35:00.258409106Z'
dnsResourceRecord:
  data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog.
  name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com
  type: CNAME
domain: myorg.example.com
name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization
updateTime: '2022-01-14T13:35:01.571086137Z'

API

DNS 認証を作成するには、dnsAuthorizations.create メソッドに POST リクエストを送信します。

POST /v1/projects/PROJECT_ID/locations/LOCATION/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME
{
  "domain": "DOMAIN_NAME",
  "type": "PER_PROJECT_RECORD"
}

以下を置き換えます。

  • PROJECT_ID: プロジェクトの ID。 Google Cloud
  • LOCATION: DNS 認証を作成するターゲット Google Cloud ロケーション。us-central1 などの特定の対象地域を指定する必要があります。
  • AUTHORIZATION_NAME: DNS 認証の名前。
  • DOMAIN_NAME: この DNS 認証を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com など)にする必要があります。

DNS 認証を参照する Google マネージド証明書を作成する

前の手順で作成した DNS 認証を参照する Google マネージド証明書を作成するには、次の手順に従います。

コンソール

  1. コンソールで、[Certificate Manager] ページに移動します。 Google Cloud

    Certificate Manager に移動

  2. [証明書] タブで、[証明書を追加] をクリックします。

  3. [証明書名] フィールドに、証明書の一意の名前を入力します。

  4. 省略可: [説明] フィールドに証明書の説明を入力します。説明を使用すると、証明書を識別できます。

  5. [ロケーション] で [リージョン] を選択します。

  6. [リージョン] リストでリージョンを選択します。

  7. [証明書の種類] で [Google マネージド証明書を作成する] を選択します。

  8. [認証局のタイプ] で [公開] を選択します。

  9. [ドメイン名] フィールドに、証明書のドメイン名をカンマ区切りのリストで指定します。各ドメイン名は完全修飾ドメイン名(myorg.example.com など)にする必要があります。ドメイン名は、*.example.com などのワイルドカード ドメイン名にすることもできます。

  10. [**認証タイプ**] で [**DNS 認証**] を選択します。

    このページには、ドメイン名の DNS 認証が一覧表示されます。ドメイン名に関連付けられた DNS 認証がない場合は、次の手順で作成します。

    1. [見つからない DNS 認証の作成] をクリックします。
    2. [**DNS 認証名**] フィールドに、 DNS 認証の名前を指定します。
    3. [DNS 認証を作成] をクリックします。

  11. [ラベル] フィールドに、証明書に関連付けるラベルを指定します。ラベルを追加するには、 [ラベルを追加] をクリックして、 ラベルのキーと値を指定します。

  12. [作成] をクリックします。

    新しい証明書が証明書リストに表示されます。

gcloud

DNS 認証を使用してリージョン Google マネージド証明書を作成するには、 certificate-manager certificates create コマンドdns-authorizationslocation フラグを指定して実行します。

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    --location=LOCATION

以下を置き換えます。

  • CERTIFICATE_NAME: 証明書の名前。
  • DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com など)またはワイルドカード ドメイン(*.myorg.example.com など)にする必要があります。アスタリスク ドットの接頭辞(*.)は、ワイルドカード証明書を示します。
  • AUTHORIZATION_NAMES: DNS 認証の名前のカンマ区切りのリスト。
  • LOCATION: ターゲット Google Cloud ロケーション。

API

次のように、certificates.create メソッドに POST リクエストを送信して証明書を作成します。

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/LOCATION/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

以下を置き換えます。

  • PROJECT_ID: プロジェクトの ID。 Google Cloud
  • CERTIFICATE_NAME: 証明書の名前。
  • DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com など)またはワイルドカード ドメイン(*.myorg.example.com など)にする必要があります。アスタリスク ドットの接頭辞(*.)は、ワイルドカード証明書を示します。
  • LOCATION: ターゲット Google Cloud ロケーション。
  • AUTHORIZATION_NAMES: DNS 認証の名前のカンマ区切りのリスト。

DNS 構成に CNAME レコードを追加する

サードパーティの DNS ソリューションを使用して DNS を管理している場合は、そのドキュメントを参照して CNAME レコードを DNS 構成に追加してください。 を使用して DNS を管理している場合は、このセクションの手順を完了してください。Google Cloud

コンソール

レコードセットを作成する手順は次のとおりです。

  1. コンソールで、[DNS ゾーン] ページに移動します。 Google Cloud

    Cloud DNS の [ゾーン] に移動

  2. レコードを追加する DNS ゾーンの名前をクリックします。

  3. [ゾーンの詳細] ページで、[標準を追加] をクリックします。

  4. [レコードセットの作成] ページの [DNS 名] フィールドに、DNS ゾーンのサブドメインを入力します。

    サブドメイン名を入力するときは、サブドメイン名( グレー表示のテキスト を含む)が、[DNS 名] フィールドに表示される dnsResourceRecord.name フィールドの完全な値と一致していることを確認してください。これは、コマンドgcloud certificate-manager dns-authorizations describe出力に表示されます。

    次の例をご覧ください。

    • dnsResourceRecord.name フィールドの値が _acme-challenge.myorg.example.com. で、 [DNS name] フィールドのグレー表示のテキストが .example.com. の場合は、 _acme-challenge.myorg と入力します。

    • dnsResourceRecord.name フィールドの値が _acme-challenge.myorg.example.com. で、 [DNS name] フィールドのグレー表示のテキストが .myorg.example.com. の場合は、 _acme-challenge と入力します。

    • dnsResourceRecord.name フィールドの値が _acme-challenge_ujmmovf2vn55tgye.myorg.example.com. で、 [DNS 名] フィールドのグレー表示のテキストが .myorg.example.com. の場合は、 _acme-challenge_ujmmovf2vn55tgye と入力します。

  5. [リソース レコードのタイプ] フィールドで [CNAME] を選択します。

  6. [TTL] フィールドに、リソース レコードの有効期間を数値で入力します。これはキャッシュに保存できる時間です。

  7. [TTL ユニット] リストから、時間の単位(例: 30 minutes)を選択します。

  8. [正規名] フィールドに、gcloud certificate-manager dns-authorizations describe コマンドの出力に表示されている dnsResourceRecord.data フィールドの完全な値を入力します。

  9. 追加情報を入力するには、[項目を追加] をクリックします。

  10. [作成] をクリックします。

gcloud

DNS 認証を作成するとき、gcloud CLI コマンドは対応する CNAME レコードを返します。CNAME レコードをターゲット ドメインの DNS ゾーンの DNS 構成に追加する手順は次のとおりです。

  1. DNS レコード トランザクションを次のように開始します。

    gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"

    DNS_ZONE_NAME は、ターゲット DNS ゾーンの名前に置き換えます。

  2. CNAME レコードをターゲット DNS ゾーンに追加します。

    gcloud dns record-sets transaction add CNAME_RECORD \
    --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \
    --ttl="30" \
    --type="CNAME" \
    --zone="DNS_ZONE_NAME"

    以下を置き換えます。

    • CNAME_RECORD: 対応する DNS 認証を作成した Google Cloud CLI コマンドによって返される CNAME レコードの完全なデータ値。
    • VALIDATION_SUBDOMAIN_NAME: DNS ゾーンの接頭辞サブドメイン(_acme-challenge など)。名前は、DNS 認証を作成するで説明されているように、gcloud certificate-manager dns-authorizations describe コマンドログからコピーできます。
    • DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.com など)にする必要があります。また、ターゲット ドメイン名の後にピリオドを含める必要があります。
    • DNS_ZONE_NAME: ターゲット DNS ゾーンの名前。

    FIXED_RECORD DNS 認証と PER_PROJECT_RECORD DNS 認証の違いについては、次の例をご覧ください。2 つの例の違いは、--name フラグの値のみです。

    FIXED_RECORD DNS 認証

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
    --name="_acme-challenge.myorg.example.com." \
    --ttl="30" \
    --type="CNAME" \
    --zone="myorg-example-com"

    PER_PROJECT_RECORD DNS 認証

    gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
    --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com." \
    --ttl="30" \
    --type="CNAME" \
    --zone="myorg-example-com"

  3. DNS レコード トランザクションを実行して変更を保存します。

    gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"

    DNS_ZONE_NAME は、ターゲット DNS ゾーンの名前に置き換えます。

Terraform

CNAME レコードを DNS 構成に追加するには、 google_dns_record_set リソースを使用します。

resource "google_dns_record_set" "cname" {
  name         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].name
  managed_zone = google_dns_managed_zone.default.name
  type         = google_certificate_manager_dns_authorization.default.dns_resource_record[0].type
  ttl          = 300
  rrdatas      = [google_certificate_manager_dns_authorization.default.dns_resource_record[0].data]
}

証明書のステータスを確認する

証明書をロードバランサにデプロイする前に、証明書が有効であることを確認します。証明書のステータスが ACTIVE に変わるまでに数分かかることがあります。

コンソール

  1. コンソールで、[Certificate Manager] ページに移動します。 Google Cloud

    Certificate Manager に移動

  2. [証明書] タブで、証明書の [ステータス] 列を確認します。

gcloud

証明書のステータスを確認するには、次のコマンドを実行します。

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    --location=LOCATION

以下を置き換えます。

  • CERTIFICATE_NAME: 証明書の名前。
  • LOCATION: Google マネージド証明書を作成したターゲット Google Cloud ロケーション。

出力は次のようになります。

createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
  authorizationAttemptInfo:
  - domain: myorg.example.com
    state: AUTHORIZED
  dnsAuthorizations:
    - projects/myProject/locations/LOCATION/dnsAuthorizations/myCert
  domains:
  - myorg.example.com
  state: ACTIVE
name: projects/myProject/locations/LOCATION/certificates/myCert
pemCertificate: |
  -----BEGIN CERTIFICATE-----
  [...]
  -----END CERTIFICATE-----
sanDnsnames:
  - myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'

数時間経っても証明書のステータスが ACTIVE にならない場合は、CNAME レコードが DNS 構成に正しく追加されていることを確認してください。

その他のトラブルシューティングの手順については、Certificate Manager のトラブルシューティングをご覧ください。

証明書をロードバランサにデプロイする

リージョン Google マネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにデプロイするには、証明書をターゲット プロキシに直接接続します。

証明書をターゲット プロキシに直接添付する

証明書は、新しいターゲット プロキシまたは既存のターゲット プロキシに接続できます。

証明書を新しいターゲット プロキシに接続するには、gcloud compute target-https-proxies create コマンドを使用します。

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

以下を置き換えます。

  • PROXY_NAME: ターゲット プロキシの名前。
  • CERTIFICATE_NAME: 証明書の名前。
  • URL_MAP: URL マップの名前。ロードバランサの作成時に URL マップを作成しました。
  • LOCATION: HTTPS ターゲット プロキシを作成するターゲット Google Cloud ロケーション。

証明書を既存のターゲット HTTPS プロキシに接続するには、gcloud compute target-https-proxies update コマンドを使用します。既存のターゲット プロキシの名前がわからない場合は、[Target proxies] ページに移動して、ターゲット プロキシの名前をメモしてください。

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

ターゲット プロキシを作成または更新したら、次のコマンドを実行して確認します。

gcloud compute target-https-proxies list

クリーンアップ

このチュートリアルで使用したリソースに対して Google Cloud アカウントに料金が発生しないように、リソース を削除します。

  1. ロードバランサとそのリソースを削除します。

    ロード バランシングの設定をクリーンアップするをご覧ください。

  2. Google マネージド証明書を削除します。

    コンソール

    1. コンソールで、[Certificate Manager] ページに移動します。 Google Cloud

      Certificate Manager に移動

    2. [証明書] タブで、証明書のチェックボックスをオンにします。

    3. [削除] をクリックします。

    4. 表示されたダイアログで、[削除] をクリックして確定します。

    gcloud

    gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    --location=LOCATION

    以下を置き換えます。

    • CERTIFICATE_NAME: 証明書の名前。
    • LOCATION: ターゲット Google Cloud ロケーション。

  3. DNS 認証を削除します。

    gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
   --location=LOCATION

    以下を置き換えます。

    • AUTHORIZATION_NAME: DNS 認証の名前。
    • LOCATION: DNS 認証を作成したターゲット Google Cloud ロケーション。

次のステップ