Implantar um certificado autogerenciado regional

Neste tutorial, mostramos como usar o Gerenciador de certificados para implantar um certificado autogerenciado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional.

Se você quiser implantar em balanceadores de carga externos globais ou entre regiões, consulte o seguinte:

Objetivos

Nesta seção, mostramos como concluir as seguintes tarefas:

  • Fazer upload de um certificado autogerenciado para o Certificate Manager.
  • Implante o certificado em um balanceador de carga de aplicativo externo regional ou em um balanceador de carga de aplicativo interno regional usando um proxy HTTPS de destino.

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloudagora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instale a Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. Verify that billing is enabled for your Google Cloud project.

  10. Enable the Compute Engine, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instale a Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  13. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

Funções exigidas

Verifique se você tem as seguintes funções para concluir as tarefas neste tutorial:

  • Proprietário do Certificate Manager (roles/certificatemanager.owner)

    Necessário para criar e gerenciar recursos do Certificate Manager.

  • Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin) ou administrador de rede do Compute (roles/compute.networkAdmin)

    Necessário para criar e gerenciar o proxy de destino HTTPS.

Para ver mais informações, consulte os seguintes tópicos:

Criar o balanceador de carga

Este tutorial pressupõe que você já criou e configurou os back-ends, as verificações de integridade, os serviços de back-end e os mapas de URL do balanceador de carga. Anote o nome do mapa de URL, porque você vai precisar dele mais tarde neste tutorial.

Criar uma chave privada e um certificado

Para criar uma chave privada e um certificado, faça o seguinte:

  1. Use uma autoridade certificadora (AC) confiável de terceiros para emitir o certificado com a chave associada.

  2. Verifique se o certificado está encadeado e confiável na raiz.

  3. Prepare os seguintes arquivos codificados em PEM:

    • O arquivo de certificado (CRT)
    • O arquivo de chave privada correspondente (KEY)

Para informações sobre como solicitar e validar um certificado, consulte Criar uma chave privada e um certificado.

Fazer upload de um certificado autogerenciado para o Gerenciador de certificados

Para fazer upload do certificado para o Gerenciador de certificados, faça o seguinte:

Console

  1. No Google Cloud console, acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Regional.

  6. Na lista Região, selecione sua região.

  7. Em Tipo de certificado, selecione Criar certificado autogerenciado.

  8. No campo Certificado, faça uma destas ações:

    • Clique no botão Upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, faça uma destas ações:

    • Clique no botão Upload e selecione sua chave privada. Ela precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado autogerenciado regional, execute o certificate-manager certificates create comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada KEY.
  • LOCATION: o local de destino. Google Cloud

Terraform

Para fazer upload de um certificado autogerenciado, use um google_certificate_manager_certificate recurso com o self_managed bloco.

API

Faça upload do certificado fazendo uma solicitação POST para o método certificates.create, da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • LOCATION: o local de destino. Google Cloud

Implantar o certificado autogerenciado em um balanceador de carga

Para implantar o certificado autogerenciado, anexe-o diretamente ao proxy de destino.

Anexar o certificado diretamente ao proxy de destino

É possível anexar o certificado a um proxy de destino novo ou atual.

Para anexar o certificado a um novo proxy de destino, use o gcloud compute target-https-proxies create comando:

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

Substitua:

  • PROXY_NAME: o nome do proxy de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • URL_MAP: o nome do mapa de URL. Você criou o mapa de URL ao criar o balanceador de carga.
  • LOCATION: o local de destino em que você quer criar o proxy de destino HTTPS. Google Cloud

Para anexar o certificado a um proxy HTTPS de destino atual, use o gcloud compute target-https-proxies update comando. Se você não souber o nome do proxy de destino atual, acesse a página Proxies de destino e anote o nome do proxy de destino.

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

Depois de criar ou atualizar o proxy de destino, execute o comando a seguir para verificá-lo:

gcloud compute target-https-proxies list

Liberar espaço

Para evitar cobranças na sua Google Cloud conta pelos recursos usados neste tutorial, exclua o certificado enviado:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

Substitua CERTIFICATE_NAME pelo nome do certificado de destino.

Se você não planeja usar o balanceador de carga, exclua-o e os recursos dele. Consulte Limpar uma configuração de balanceamento de carga.

A seguir