Implemente um certificado autogerido em várias regiões

Este tutorial mostra como usar o Gestor de certificados para implementar um certificado autogerido global num Application Load Balancer interno entre regiões.

Se quiser implementar balanceadores de carga externos globais ou balanceadores de carga regionais, consulte o seguinte:

Carregue um certificado autogerido para o Gestor de certificados

Para carregar o certificado para o Gestor de certificados, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição do certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Global.

  6. Para Âmbito, selecione Todas as regiões.

  7. Para Tipo de certificado, selecione Criar certificado autogerido.

  8. Para o campo Certificado, faça uma das seguintes ações:

    • Clique no botão Carregar e selecione o ficheiro de certificado formatado em PEM.
    • Copie e cole o conteúdo de um certificado formatado em PEM. O conteúdo tem de começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. Para o campo Certificado de chave privada, faça qualquer uma das seguintes ações:

    • Clique no botão Carregar e selecione a sua chave privada. A chave privada tem de estar no formato PEM e não estar protegida com uma frase secreta.
    • Copiar e colar o conteúdo de uma chave privada formatada em PEM. As chaves privadas têm de começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  11. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado autogerido entre regiões, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --scope=all-regions

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do ficheiro do certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do ficheiro da chave privada KEY.

Terraform

Para carregar um certificado autogerido, pode usar um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Carregue o certificado fazendo um pedido POST ao método certificates.create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: "ALL_REGIONS"
  }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.

Implemente o certificado autogerido num balanceador de carga

Para implementar o certificado autogerido global, anexe-o diretamente ao proxy de destino.

Anexe o certificado diretamente ao proxy de destino

Pode anexar o certificado a um novo proxy de destino ou a um proxy de destino existente.

Para anexar o certificado a um novo proxy de destino, use o comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --url-map=URL_MAP \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --global

Substitua o seguinte:

  • PROXY_NAME: o nome do proxy de destino.
  • URL_MAP: o nome do mapa de URLs. Criou o mapa de URLs quando criou o balanceador de carga.
  • CERTIFICATE_NAME: o nome do certificado.

Para anexar o certificado a um proxy HTTPS de destino existente, use o comando gcloud compute target-https-proxies update. Se não souber o nome do proxy de destino existente, aceda à página Proxies de destino e anote o nome do proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --global \
    --certificate-manager-certificates=CERTIFICATE_NAME

Depois de criar ou atualizar o proxy de destino, execute o seguinte comando para o verificar:

gcloud compute target-https-proxies list

Limpar

Para evitar incorrer em custos na sua conta Google Cloud relativos aos recursos usados neste tutorial, elimine o certificado carregado:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

Se não planeia usar o balanceador de carga, elimine-o e os respetivos recursos. Consulte o artigo Limpe uma configuração de equilíbrio de carga.