Men-deploy sertifikat yang dikelola sendiri lintas region

Tutorial ini menunjukkan cara menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola sendiri secara global ke Load Balancer Aplikasi internal lintas region.

Jika Anda ingin men-deploy ke load balancer eksternal global atau load balancer regional, lihat hal berikut:

Tujuan

Tutorial ini menunjukkan kepada Anda cara menyelesaikan tugas-tugas berikut:

  • Mengupload sertifikat yang dikelola sendiri ke Pengelola Sertifikat.
  • Men-deploy sertifikat ke load balancer yang didukung menggunakan proxy HTTPS target.

Sebelum memulai

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instal Google Cloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instal Google Cloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran yang diperlukan

Pastikan Anda memiliki peran berikut untuk menyelesaikan tugas dalam tutorial ini:

  • Pemilik Pengelola Sertifikat (roles/certificatemanager.owner)

    Diperlukan untuk membuat dan mengelola resource Pengelola Sertifikat.

  • Admin Load Balancer Compute (roles/compute.loadBalancerAdmin) atau Admin Jaringan Compute (roles/compute.networkAdmin)

    Diperlukan untuk membuat dan mengelola proxy HTTPS target.

Untuk informasi selengkapnya, lihat referensi berikut:

Membuat load balancer

Tutorial ini mengasumsikan bahwa Anda telah membuat dan mengonfigurasi backend, health check, layanan backend, dan peta URL load balancer. Catat nama peta URL karena Anda akan memerlukannya nanti dalam tutorial ini.

Jika Anda belum membuat Load Balancer Aplikasi internal lintas region, lihat Menyiapkan Load Balancer Aplikasi internal lintas region dengan backend grup instance VM .

Membuat kunci pribadi dan sertifikat

Untuk membuat kunci pribadi dan sertifikat, lakukan hal berikut:

  1. Gunakan certificate authority (CA) pihak ketiga yang tepercaya untuk menerbitkan sertifikat beserta kunci terkait.

  2. Pastikan sertifikat dirantai dengan benar dan dipercaya oleh root.

  3. Siapkan file yang dienkode PEM berikut:

    • File sertifikat (CRT)
    • File kunci pribadi yang sesuai (KEY)

Untuk mengetahui informasi tentang cara meminta dan memvalidasi sertifikat, lihat Membuat kunci pribadi dan sertifikat.

Mengupload sertifikat yang dikelola sendiri ke Pengelola Sertifikat

Untuk mengupload sertifikat ke Pengelola Sertifikat, lakukan hal berikut:

Konsol

  1. Di Google Cloud konsol, buka halaman Pengelola Sertifikat.

    Buka Pengelola Sertifikat

  2. Di tab Sertifikat, klik Tambahkan Sertifikat.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Deskripsi, masukkan deskripsi untuk sertifikat. Deskripsi ini memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Lokasi, pilih Global.

  6. Untuk Cakupan, pilih Semua region.

  7. Untuk Jenis sertifikat, pilih Buat sertifikat yang dikelola sendiri.

  8. Untuk kolom Sertifikat, lakukan salah satu hal berikut:

    • Klik tombol Upload , lalu pilih file sertifikat berformat PEM.
    • Salin dan tempel konten sertifikat berformat PEM. Konten harus dimulai dengan -----BEGIN CERTIFICATE----- dan diakhiri dengan -----END CERTIFICATE-----.

  9. Untuk kolom Sertifikat kunci pribadi, lakukan salah satu hal berikut:

    • Klik tombol Upload , lalu pilih kunci pribadi Anda. Kunci pribadi Anda harus berformat PEM dan tidak dilindungi dengan sandi.
    • Salin dan tempel konten kunci pribadi berformat PEM. Kunci pribadi harus dimulai dengan -----BEGIN PRIVATE KEY----- dan diakhiri dengan -----END PRIVATE KEY-----.

  10. Di kolom Label, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola sendiri lintas region, gunakan certificate-manager certificates create perintah:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • CERTIFICATE_FILE: jalur dan nama file sertifikat CRT.
  • PRIVATE_KEY_FILE: jalur dan nama file kunci pribadi KEY.

Terraform

Untuk mengupload sertifikat yang dikelola sendiri, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok self_managed.

API

Upload sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project.
  • CERTIFICATE_NAME: nama sertifikat.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM kunci.

Men-deploy sertifikat yang dikelola sendiri ke load balancer

Untuk men-deploy sertifikat yang dikelola sendiri secara global, lampirkan langsung ke proxy target.

Melampirkan sertifikat langsung ke proxy target

Anda dapat melampirkan sertifikat ke proxy target baru atau proxy target yang ada.

Untuk melampirkan sertifikat ke proxy target baru, gunakan gcloud compute target-https-proxies create perintah:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Ganti kode berikut:

  • PROXY_NAME: nama proxy target.
  • URL_MAP: nama peta URL. Anda membuat peta URL saat membuat load balancer.
  • CERTIFICATE_NAME: nama sertifikat.

Untuk melampirkan sertifikat ke proxy HTTPS target yang ada, gunakan gcloud compute target-https-proxies update perintah. Jika Anda tidak mengetahui nama proxy target yang ada, buka halaman Proxy target dan catat nama proxy target.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Setelah membuat atau memperbarui proxy target, jalankan perintah berikut untuk memverifikasinya:

gcloud compute target-https-proxies list

Pembersihan

Agar tidak menimbulkan tagihan ke Google Cloud akun Anda untuk resource yang digunakan dalam tutorial ini, hapus sertifikat yang diupload:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Ganti CERTIFICATE_NAME dengan nama sertifikat target.

Jika Anda tidak berencana menggunakan load balancer, hapus load balancer dan resourcenya. Lihat Membersihkan penyiapan load balancing setup.

Langkah berikutnya