Men-deploy sertifikat yang dikelola sendiri lintas region

Tutorial ini menunjukkan cara menggunakan Pengelola Sertifikat untuk men-deploy sertifikat yang dikelola sendiri secara global ke Load Balancer Aplikasi internal lintas region.

Jika Anda ingin men-deploy ke load balancer eksternal global atau load balancer regional, lihat artikel berikut:

Mengupload sertifikat yang dikelola sendiri ke Certificate Manager

Untuk mengupload sertifikat ke Pengelola Sertifikat, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Sertifikat, klik Tambahkan Sertifikat.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Deskripsi, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Location, pilih Global.

  6. Untuk Cakupan, pilih Semua wilayah.

  7. Untuk Certificate type, pilih Create self-managed certificate.

  8. Untuk kolom Certificate, lakukan salah satu hal berikut:

    • Klik tombol Upload, lalu pilih file sertifikat Anda dalam format PEM.
    • Salin dan tempel konten sertifikat berformat PEM. Konten harus diawali dengan -----BEGIN CERTIFICATE----- dan diakhiri dengan -----END CERTIFICATE-----.

  9. Untuk kolom Private key certificate, lakukan salah satu hal berikut:

    • Klik tombol Upload, lalu pilih kunci pribadi Anda. Kunci pribadi Anda harus berformat PEM dan tidak dilindungi dengan frasa sandi.
    • Salin dan tempelkan konten kunci pribadi berformat PEM. Kunci pribadi harus dimulai dengan -----BEGIN PRIVATE KEY----- dan diakhiri dengan -----END PRIVATE KEY-----.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola sendiri lintas-region, gunakan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • CERTIFICATE_FILE: jalur dan nama file sertifikat CRT.
  • PRIVATE_KEY_FILE: jalur dan nama file kunci pribadi KEY.

Terraform

Untuk mengupload sertifikat yang dikelola sendiri, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok self_managed.

API

Upload sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project.
  • CERTIFICATE_NAME: nama sertifikat.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM kunci.

Men-deploy sertifikat yang dikelola sendiri ke load balancer

Untuk men-deploy sertifikat yang dikelola sendiri secara global, lampirkan sertifikat tersebut langsung ke proxy target.

Lampirkan sertifikat langsung ke proxy target

Anda dapat melampirkan sertifikat ke proxy target baru atau proxy target yang ada.

Untuk melampirkan sertifikat ke proxy target baru, gunakan perintah gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Ganti kode berikut:

  • PROXY_NAME: nama proxy target.
  • URL_MAP: nama peta URL. Anda membuat peta URL saat membuat load balancer.
  • CERTIFICATE_NAME: nama sertifikat.

Untuk melampirkan sertifikat ke proxy HTTPS target yang ada, gunakan perintah gcloud compute target-https-proxies update. Jika Anda tidak mengetahui nama proxy target yang ada, buka halaman Target proxy dan catat nama proxy target.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Setelah membuat atau memperbarui proxy target, jalankan perintah berikut untuk memverifikasinya:

gcloud compute target-https-proxies list

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus sertifikat yang diupload:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Ganti CERTIFICATE_NAME dengan nama sertifikat target.

Jika Anda tidak berencana menggunakan load balancer, hapus load balancer dan resourcenya. Lihat Membersihkan penyiapan load balancing.