In dieser Anleitung erfahren Sie, wie Sie mit dem Zertifikatmanager ein selbstverwaltetes Zertifikat für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer bereitstellen.
Wenn Sie die Bereitstellung für globale externe oder regionenübergreifende Load Balancer vornehmen möchten, lesen Sie die folgenden Informationen:
Ziele
In diesem Anleitung werden die folgenden Aufgaben erläutert:
- Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen
- Zertifikat mithilfe eines HTTPS-Zielproxys für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer bereitstellen
Hinweis
- Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch nicht mit Google Cloudvertraut sind, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Installieren Sie die Google Cloud CLI.
-
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
-
Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Installieren Sie die Google Cloud CLI.
-
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
-
Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:
gcloud init
Erforderliche Rollen
Sie benötigen die folgenden Rollen, um die Aufgaben in dieser Anleitung auszuführen:
Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)Erforderlich zum Erstellen und Verwalten von Zertifikatmanager-Ressourcen.
Administrator für Compute-Load-Balancer (
roles/compute.loadBalancerAdmin) oder Administrator für Compute-Netzwerke (roles/compute.networkAdmin)Erforderlich zum Erstellen und Verwalten von HTTPS-Zielproxys.
Hier finden Sie weitere Informationen:
- Rollen und Berechtigungen für den Zertifikatmanager
- Compute Engine-IAM-Rollen und -Berechtigungen für Compute Engine
Load-Balancer erstellen
In dieser Anleitung wird davon ausgegangen, dass Sie die Back-Ends, Systemdiagnosen, Back-End-Dienste und URL-Zuordnungen des Load-Balancers bereits erstellt und konfiguriert haben. Notieren Sie sich den Namen der URL-Zuordnung, da Sie ihn später in dieser Anleitung benötigen.
Informationen zum Erstellen eines regionalen externen Application Load Balancers finden Sie unter Regionalen externen Application Load Balancer mit VM-Instanzgruppen Back-Ends einrichten.
Informationen zum Erstellen eines regionalen internen Application Load Balancers finden Sie unter Regionalen internen Application Load Balancer mit VM-Instanzgruppen Back-Ends einrichten.
Privaten Schlüssel und Zertifikat erstellen
So erstellen Sie einen privaten Schlüssel und ein Zertifikat:
Verwenden Sie eine vertrauenswürdige Zertifizierungsstelle eines Drittanbieters, um das Zertifikat zusammen mit dem zugehörigen Schlüssel auszustellen.
Prüfen Sie, ob das Zertifikat ordnungsgemäß verkettet und als vertrauenswürdig eingestuft ist.
Bereiten Sie die folgenden PEM-codierten Dateien vor:
- Die Zertifikatsdatei (CRT)
- Die entsprechende Datei mit dem privaten Schlüssel (KEY)
Informationen zum Anfordern und Validieren eines Zertifikats finden Sie unter Privaten Schlüssel und Zertifikat erstellen.
Selbstverwaltetes Zertifikat in den Zertifikatmanager hochladen
So laden Sie das Zertifikat in den Zertifikatmanager hoch:
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatsname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Mit der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Regional aus.
Wählen Sie in der Liste Region Ihre Region aus.
Wählen Sie unter Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Führen Sie im Feld Zertifikat einen der folgenden Schritte aus:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit
-----BEGIN CERTIFICATE-----beginnen und mit-----END CERTIFICATE-----enden.
Führen Sie im Feld Zertifikat für privaten Schlüssel einen der folgenden Schritte aus:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit
-----BEGIN PRIVATE KEY-----beginnen und mit-----END PRIVATE KEY-----enden.
Geben Sie im Feld Labels Labels an, die mit dem Zertifikat verknüpft werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.
Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
gcloud
Führen Sie den
certificate-manager certificates create Befehl aus, um ein regionales selbstverwaltetes Zertifikat zu erstellen:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--location="LOCATION"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME: der Name des Zertifikats.CERTIFICATE_FILE: der Pfad und Dateiname der CRT-Zertifikatsdatei.PRIVATE_KEY_FILE: der Pfad und Dateiname der KEY-Datei mit dem privaten Schlüssel.LOCATION: derZiel Google Cloud standort.
Terraform
Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, können Sie eine
google_certificate_manager_certificate Ressource mit dem self_managed Block verwenden.
API
Laden Sie das Zertifikat hoch, indem Sie eine POST-Anfrage an die Methode certificates.create senden:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
}
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud Projekts.CERTIFICATE_NAME: der Name des Zertifikats.PEM_CERTIFICATE: das Zertifikat im PEM-Format.PEM_KEY: der Schlüssel im PEM-Format.LOCATION: derZiel Google Cloud standort.
Selbstverwaltetes Zertifikat für einen Load-Balancer bereitstellen
Wenn Sie das selbstverwaltete Zertifikat bereitstellen möchten, hängen Sie es direkt an den Zielproxy an.
Zertifikat direkt an den Zielproxy anhängen
Sie können das Zertifikat an einen neuen oder einen vorhandenen Zielproxy anhängen.
Verwenden Sie den gcloud compute
target-https-proxies create
Befehl, um das Zertifikat an einen neuen Zielproxy anzuhängen:
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-manager-certificates=CERTIFICATE_NAME \
--url-map=URL_MAP \
--region=LOCATION
Ersetzen Sie Folgendes:
PROXY_NAME: der Name des Zielproxys.CERTIFICATE_NAME: der Name des Zertifikats.URL_MAP: der Name der URL-Zuordnung. Sie haben die URL-Zuordnung beim Erstellen des Load-Balancers erstellt.LOCATION: derZiel Google Cloud standort, an dem Sie den HTTPS-Zielproxy erstellen möchten.
Verwenden Sie den gcloud
compute target-https-proxies update
Befehl, um das Zertifikat an einen vorhandenen HTTPS-Zielproxy anzuhängen. Wenn Sie
den Namen des vorhandenen Zielproxys nicht kennen, rufen Sie die Seite
Zielproxys
auf und notieren Sie sich den Namen des Zielproxys.
gcloud compute target-https-proxies update PROXY_NAME \
--region=LOCATION \
--certificate-manager-certificates=CERTIFICATE_NAME
Führen Sie nach dem Erstellen oder Aktualisieren des Zielproxys den folgenden Befehl aus, um ihn zu prüfen:
gcloud compute target-https-proxies list
Bereinigen
Wenn Sie vermeiden möchten, dass Ihrem Google Cloud Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden, löschen Sie das hochgeladene Zertifikat:
gcloud certificate-manager certificates delete CERTIFICATE_NAME
Ersetzen Sie CERTIFICATE_NAME durch den Namen des Zielzertifikats.
Wenn Sie den Load-Balancer nicht verwenden möchten, löschen Sie ihn und seine Ressourcen. Weitere Informationen finden Sie unter Load-Balancing -Einrichtung bereinigen.