Esegui il deployment di un certificato autogestito a livello di regione

Questo tutorial mostra come utilizzare Certificate Manager per eseguire il deployment di un certificato autogestito in un bilanciatore del carico delle applicazioni esterno regionale o in un bilanciatore del carico delle applicazioni interno regionale.

Se vuoi eseguire il deployment su bilanciatori del carico esterni globali o interregionali, consulta quanto segue:

Carica un certificato autogestito in Certificate Manager

Per caricare il certificato in Certificate Manager, procedi nel seguente modo:

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona A livello di regione.

  6. Nell'elenco Regione, seleziona la tua regione.

  7. In Tipo di certificato, seleziona Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  9. Per il campo Certificato della chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta da una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  11. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato autogestito a livello di regione, esegui il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome file della chiave privata KEY.
  • LOCATION: la posizione Google Cloud di destinazione.

Terraform

Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il PEM del certificato.
  • PEM_KEY: il PEM della chiave.
  • LOCATION: la posizione Google Cloud di destinazione.

Esegui il deployment del certificato autogestito su un bilanciatore del carico

Per eseguire il deployment del certificato autogestito, collegalo direttamente al proxy di destinazione.

Allega il certificato direttamente al proxy di destinazione

Puoi collegare il certificato a un nuovo proxy di destinazione o a uno esistente.

Per collegare il certificato a un nuovo proxy di destinazione, utilizza il comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

Sostituisci quanto segue:

  • PROXY_NAME: il nome del proxy di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • URL_MAP: il nome della mappa degli URL. Hai creato la mappa URL quando hai creato il bilanciatore del carico.
  • LOCATION: la Google Cloud posizione di destinazione in cui vuoi creare il proxy di destinazione HTTPS.

Per collegare il certificato a un proxy HTTPS di destinazione esistente, utilizza il comando gcloud compute target-https-proxies update. Se non conosci il nome del proxy di destinazione esistente, vai alla pagina Proxy di destinazione e annota il nome del proxy di destinazione.

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Dopo aver creato o aggiornato il proxy di destinazione, esegui questo comando per verificarlo:

gcloud compute target-https-proxies list

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il certificato caricato:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Sostituisci CERTIFICATE_NAME con il nome del certificato di destinazione.

Se non prevedi di utilizzare il bilanciatore del carico, eliminalo insieme alle relative risorse. Vedi Pulizia della configurazione di un bilanciatore del carico.