Implemente um certificado autogerido regional

Este tutorial mostra como usar o Gestor de certificados para implementar um certificado autogerido num Application Load Balancer externo regional ou num Application Load Balancer interno regional.

Se quiser implementar balanceadores de carga externos globais ou entre regiões, consulte o seguinte:

Carregue um certificado autogerido para o Gestor de certificados

Para carregar o certificado para o Gestor de certificados, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição do certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Regional.

  6. Na lista Região, selecione a sua região.

  7. Para Tipo de certificado, selecione Criar certificado autogerido.

  8. Para o campo Certificado, faça uma das seguintes ações:

    • Clique no botão Carregar e selecione o ficheiro de certificado formatado em PEM.
    • Copie e cole o conteúdo de um certificado formatado em PEM. O conteúdo tem de começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. Para o campo Certificado de chave privada, faça qualquer uma das seguintes ações:

    • Clique no botão Carregar e selecione a sua chave privada. A chave privada tem de estar no formato PEM e não estar protegida com uma frase secreta.
    • Copiar e colar o conteúdo de uma chave privada formatada em PEM. As chaves privadas têm de começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  11. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado autogerido regional, execute o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do ficheiro do certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do ficheiro da chave privada KEY.
  • LOCATION: a localização Google Cloud alvo.

Terraform

Para carregar um certificado autogerido, pode usar um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Carregue o certificado fazendo um pedido POST ao método certificates.create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.
  • LOCATION: a localização Google Cloud alvo.

Implemente o certificado autogerido num balanceador de carga

Para implementar o certificado autogerido, anexe-o diretamente ao proxy de destino.

Anexe o certificado diretamente ao proxy de destino

Pode anexar o certificado a um novo proxy de destino ou a um proxy de destino existente.

Para anexar o certificado a um novo proxy de destino, use o comando gcloud compute target-https-proxies create:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

Substitua o seguinte:

  • PROXY_NAME: o nome do proxy de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • URL_MAP: o nome do mapa de URLs. Criou o mapa de URLs quando criou o balanceador de carga.
  • LOCATION: a localização Google Cloud de destino onde quer criar o proxy HTTPS de destino.

Para anexar um certificado a um proxy HTTPS de destino existente, use o comando gcloud compute target-https-proxies update. Se não souber o nome do proxy de destino existente, aceda à página Proxies de destino e anote o nome do proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Depois de criar ou atualizar o proxy de destino, execute o seguinte comando para o verificar:

gcloud compute target-https-proxies list

Limpar

Para evitar incorrer em custos na sua conta Google Cloud relativos aos recursos usados neste tutorial, elimine o certificado carregado:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

Se não planeia usar o balanceador de carga, elimine-o e os respetivos recursos. Consulte o artigo Limpe uma configuração de equilíbrio de carga.