部署跨區域自行管理的憑證

本教學課程說明如何使用 Certificate Manager,將全域自行管理的憑證部署至跨區域內部應用程式負載平衡器。

如要部署至全域外部負載平衡器或區域負載平衡器,請參閱下列說明:

將自行管理的憑證上傳至 Certificate Manager

如要將憑證上傳至 Certificate Manager,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Certificate Manager」頁面。

    前往 Certificate Manager

  2. 在「憑證」分頁中,按一下「新增憑證」

  3. 在「憑證名稱」欄位中,輸入憑證的專屬名稱。

  4. 選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。

  5. 在「Location」(位置) 部分,選取「Global」

  6. 在「範圍」部分,選取「所有區域」。

  7. 在「憑證類型」部分,選取「建立自行管理的憑證」

  8. 在「憑證」欄位中,執行下列任一操作:

    • 按一下「上傳」按鈕,然後選取 PEM 格式的憑證檔案。
    • 複製並貼上 PEM 格式憑證的內容。內容開頭必須是 -----BEGIN CERTIFICATE-----,結尾必須是 -----END CERTIFICATE-----

  9. 在「私密金鑰憑證」欄位中,執行下列任一操作:

    • 按一下「上傳」按鈕,然後選取私密金鑰。私密金鑰必須採用 PEM 格式,且不得受密碼保護。
    • 複製並貼上 PEM 格式的私密金鑰內容。私密金鑰開頭須為 -----BEGIN PRIVATE KEY-----,結尾須為 -----END PRIVATE KEY-----

  10. 在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。

  11. 點選「建立」

    新憑證會顯示在憑證清單中。

gcloud

如要建立跨區域自行管理的憑證,請使用 certificate-manager certificates create 指令

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

更改下列內容:

  • CERTIFICATE_NAME:憑證名稱。
  • CERTIFICATE_FILE:CRT 憑證檔案的路徑和檔案名稱。
  • PRIVATE_KEY_FILE:KEY 私密金鑰檔案的路徑和檔案名稱。

Terraform

如要上傳自行管理的憑證,可以使用具有 self_managed 區塊的 google_certificate_manager_certificate 資源

API

certificates.create 方法發出 POST 要求,即可上傳憑證,如下所示:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID。
  • CERTIFICATE_NAME:憑證名稱。
  • PEM_CERTIFICATE:憑證 PEM。
  • PEM_KEY:金鑰 PEM。

將自行管理的憑證部署至負載平衡器

如要部署全球性自行管理憑證,請直接將憑證附加至目標 Proxy。

將憑證直接附加至目標 Proxy

您可以將憑證附加至新的或現有的目標 Proxy。

如要將憑證附加至新的目標 Proxy,請使用 gcloud compute target-https-proxies create 指令

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

更改下列內容:

  • PROXY_NAME:目標 Proxy 的名稱。
  • URL_MAP:網址對應表名稱。建立負載平衡器時,您已建立網址對應。
  • CERTIFICATE_NAME:憑證名稱。

如要將憑證附加至現有的目標 HTTPS Proxy,請使用 gcloud compute target-https-proxies update 指令。如果不知道現有目標 Proxy 的名稱,請前往「目標 Proxy頁面,並記下目標 Proxy 的名稱。

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

建立或更新目標 Proxy 後,請執行下列指令進行驗證:

gcloud compute target-https-proxies list

清除所用資源

如要避免系統向您的 Google Cloud 帳戶收取這個教學課程所用資源的費用,請刪除上傳的憑證:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

CERTIFICATE_NAME 替換為目標憑證的名稱。

如果您不打算使用負載平衡器,請刪除負載平衡器及其資源。請參閱清除負載平衡設定