リージョン セルフマネージド証明書をデプロイする。

このチュートリアルでは、Certificate Manager を使用して、リージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサにセルフマネージド証明書をデプロイする方法について説明します。

グローバル外部ロードバランサまたはクロスリージョン ロードバランサにデプロイする場合は、以下をご覧ください。

セルフマネージド証明書を Certificate Manager にアップロードします。

証明書を Certificate Manager にアップロードする手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [証明書] タブで、[証明書を追加] をクリックします。

  3. [証明書名] フィールドに、証明書の一意の名前を入力します。

  4. 省略可: [説明] フィールドに証明書の説明を入力します。説明は、証明書を識別するために使用します。

  5. [ロケーション] で [リージョン] を選択します。

  6. [リージョン] リストでリージョンを選択します。

  7. [証明書の種類] で [セルフマネージド証明書を作成する] を選択します。

  8. [証明書] フィールドについて、次のいずれかを行います。

    • [アップロード] ボタンをクリックし、PEM 形式の証明書ファイルを選択します。
    • PEM 形式の証明書のコンテンツをコピーして貼り付けます。コンテンツは -----BEGIN CERTIFICATE----- で始まり、-----END CERTIFICATE----- で終わる必要があります。

  9. [秘密鍵証明書] フィールドで、次のいずれかを行います。

    • [アップロード] ボタンをクリックし、秘密鍵を選択します。秘密鍵は PEM 形式で、パスフレーズで保護されていない必要があります。
    • PEM 形式の秘密鍵のコンテンツをコピーして貼り付けます。秘密鍵は -----BEGIN PRIVATE KEY----- で始まり、-----END PRIVATE KEY----- で終わる必要があります。

  10. [ラベル] フィールドで、証明書に関連付けるラベルを指定します。ラベルを追加するには、[ラベルを追加] をクリックして、ラベルのキーと値を指定します。

  11. [作成] をクリックします。

    新しい証明書が証明書のリストに表示されます。

gcloud

リージョン セルフマネージド証明書を作成するには、certificate-manager certificates create コマンドを実行します。

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

以下を置き換えます。

  • CERTIFICATE_NAME: 証明書の名前。
  • CERTIFICATE_FILE: CRT 証明書ファイルのパスとファイル名。
  • PRIVATE_KEY_FILE: KEY 秘密鍵ファイルのパスとファイル名。
  • LOCATION: ターゲット Google Cloud ロケーション。

Terraform

セルフマネージド証明書をアップロードするには、self_managed ブロックを含む google_certificate_manager_certificate リソースを使用します。

API

次のように、certificates.create メソッドに POST リクエストを送信して、証明書をアップロードします。

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID
  • CERTIFICATE_NAME: 証明書の名前。
  • PEM_CERTIFICATE: 証明書の PEM。
  • PEM_KEY: 鍵の PEM。
  • LOCATION: ターゲット Google Cloud ロケーション。

セルフマネージド証明書をロードバランサにデプロイする

セルフマネージド証明書をデプロイするには、ターゲット プロキシに直接関連付けます。

証明書をターゲット プロキシに直接添付する

証明書は、新しいターゲット プロキシまたは既存のターゲット プロキシに接続できます。

証明書を新しいターゲット プロキシに添付するには、gcloud compute target-https-proxies create コマンドを使用します。

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

以下を置き換えます。

  • PROXY_NAME: ターゲット プロキシの名前
  • CERTIFICATE_NAME: 証明書の名前。
  • URL_MAP: URL マップの名前。ロードバランサの作成時に URL マップを作成しました。
  • LOCATION: HTTPS ターゲット プロキシを作成するターゲット Google Cloud ロケーション。

既存のターゲット HTTPS プロキシに証明書を関連付けるには、gcloud compute target-https-proxies update コマンドを使用します。既存のターゲット プロキシの名前がわからない場合は、[ターゲット プロキシ] ページに移動して、ターゲット プロキシの名前を確認します。

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

ターゲット プロキシを作成または更新したら、次のコマンドを実行して確認します。

gcloud compute target-https-proxies list

クリーンアップ

このチュートリアルで使用したリソースについて Google Cloud アカウントに課金されないようにするには、アップロードした証明書を削除します。

gcloud certificate-manager certificates delete CERTIFICATE_NAME

CERTIFICATE_NAME は、ターゲット証明書の名前に置き換えます。

ロードバランサを使用する予定がない場合は、ロードバランサとそのリソースを削除します。ロード バランシングの設定をクリーンアップするをご覧ください。