Déployer un certificat autogéré interrégional

Ce tutoriel vous explique comment utiliser le gestionnaire de certificats pour déployer un certificat autogéré mondial sur un équilibreur de charge d'application interne interrégional.

Si vous souhaitez déployer des équilibreurs de charge externes mondiaux ou des équilibreurs de charge régionaux, consultez les ressources suivantes :

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

  • Importer un certificat autogéré dans le gestionnaire de certificats.
  • Déployer le certificat sur un équilibreur de charge compatible à l'aide d'un proxy HTTPS cible.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installez la Google Cloud CLI.

  6. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  7. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Installez la Google Cloud CLI.

  12. Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

  13. Pour initialiser la gcloud CLI, exécutez la commande suivante : 

    gcloud init

Rôles requis

Assurez-vous de disposer des rôles suivants pour effectuer les tâches de ce tutoriel :

  • Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

    Obligatoire pour créer et gérer les ressources du gestionnaire de certificats.

  • Administrateur de l'équilibreur de charge Compute (roles/compute.loadBalancerAdmin) ou administrateur réseau Compute (roles/compute.networkAdmin)

    Obligatoire pour créer et gérer un proxy HTTPS cible.

Pour en savoir plus, consultez les ressources suivantes :

Créer l'équilibreur de charge

Ce tutoriel suppose que vous avez déjà créé et configuré les backends, les vérifications d'état, les services de backend et les mappages d'URL de l'équilibreur de charge. Notez le nom du mappage d'URL, car vous en aurez besoin plus tard dans ce tutoriel.

Si vous n'avez pas créé d'équilibreur de charge d'application interne interrégional, consultez la section Configurer un équilibreur de charge d'application interne interrégional avec des backends de groupes d'instances de VM.

Créer une clé privée et un certificat

Pour créer une clé privée et un certificat, procédez comme suit :

  1. Utilisez une autorité de certification (CA) tierce de confiance pour émettre le certificat avec sa clé associée.

  2. Vérifiez que le certificat est correctement chaîné et que la racine est approuvée.

  3. Préparez les fichiers encodés au format PEM suivants :

    • Le fichier de certificat (CRT)
    • Le fichier de clé privée correspondant (KEY)

Pour savoir comment demander et valider un certificat, consultez la section Créer une clé privée et un certificat.

Importer un certificat autogéré dans le gestionnaire de certificats

Pour importer le certificat dans le gestionnaire de certificats, procédez comme suit :

Console

  1. Dans la Google Cloud console, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif : Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Dans Emplacement, sélectionnez Mondial.

  6. Dans Champ d'application, sélectionnez Toutes les régions.

  7. Dans Type de certificat, sélectionnez Créer un certificat autogéré.

  8. Pour le champ Certificat, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.

  9. Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.

  10. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  11. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat autogéré interrégional, utilisez la certificate-manager certificates create commande :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • CERTIFICATE_FILE : chemin d'accès et nom du fichier de certificat CRT.
  • PRIVATE_KEY_FILE : chemin d'accès et nom du fichier de clé privée KEY.

Terraform

Pour importer un certificat autogéré, vous pouvez utiliser une google_certificate_manager_certificate ressource avec le self_managed bloc.

API

Importez le certificat en envoyant une requête POST à la méthode certificates.create comme suit :

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du Google Cloud projet.
  • CERTIFICATE_NAME : nom du certificat.
  • PEM_CERTIFICATE : certificat PEM.
  • PEM_KEY : clé PEM.

Déployer le certificat autogéré sur un équilibreur de charge

Pour déployer le certificat autogéré mondial, associez-le directement au proxy cible.

Associer le certificat directement au proxy cible

Vous pouvez associer le certificat à un nouveau proxy cible ou à un proxy cible existant.

Pour associer le certificat à un nouveau proxy cible, utilisez la gcloud compute target-https-proxies create commande :

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Remplacez les éléments suivants :

  • PROXY_NAME : nom du proxy cible.
  • URL_MAP : nom du mappage d'URL. Vous avez créé le mappage d'URL lorsque vous avez créé l'équilibreur de charge.
  • CERTIFICATE_NAME : nom du certificat.

Pour associer le certificat à un proxy HTTPS cible existant, utilisez la gcloud compute target-https-proxies update commande. Si vous ne connaissez pas le nom du proxy cible existant, accédez à la page Proxys cibles et notez le nom du proxy cible.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Après avoir créé ou mis à jour le proxy cible, exécutez la commande suivante pour le vérifier :

gcloud compute target-https-proxies list

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud , supprimez le certificat importé :

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Remplacez CERTIFICATE_NAME par le nom du certificat cible.

Si vous ne prévoyez pas d'utiliser l'équilibreur de charge, supprimez-le ainsi que ses ressources. Consultez la section Nettoyer une configuration d'équilibrage de charge setup.

Étape suivante