部署自行管理的区域级证书

本教程介绍了如何使用 Certificate Manager 将自行管理的证书部署到区域级外部应用负载平衡器或区域级内部应用负载平衡器。

如果您想部署到全球外部负载平衡器或跨区域负载平衡器,请参阅以下内容:

将自行管理的证书上传到 Certificate Manager

如需将证书上传到 Certificate Manager,请执行以下操作:

控制台

  1. 在 Google Cloud 控制台中,前往 Certificate Manager 页面。

    前往 Certificate Manager

  2. 证书标签页上,点击添加证书

  3. 证书名称字段中,输入证书的唯一名称。

  4. 可选:在说明字段中,输入证书的说明。通过说明,您可以识别证书。

  5. 对于位置,选择地区级

  6. 区域列表中,选择您的区域。

  7. 证书类型部分,选择创建自行管理的证书

  8. 对于证书字段,请执行以下任一操作:

    • 点击上传按钮,然后选择您的 PEM 格式的证书文件。
    • 复制并粘贴 PEM 格式证书的内容。内容必须以 -----BEGIN CERTIFICATE----- 开头,并以 -----END CERTIFICATE----- 结尾。

  9. 对于私钥证书字段,请执行以下任一操作:

    • 点击上传按钮,然后选择您的私钥。您的私钥必须采用 PEM 格式,且不受密码保护。
    • 复制并粘贴 PEM 格式的私钥内容。私钥必须以 -----BEGIN PRIVATE KEY----- 开头,并以 -----END PRIVATE KEY----- 结尾。

  10. 标签字段中,指定要与证书关联的标签。如需添加标签,请点击添加标签,并为标签指定键和值。

  11. 点击创建

    新证书会显示在证书列表中。

gcloud

如需创建自行管理的区域级证书,请运行 certificate-manager certificates create 命令

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

替换以下内容:

  • CERTIFICATE_NAME:证书的名称。
  • CERTIFICATE_FILE:CRT 证书文件的路径和文件名。
  • PRIVATE_KEY_FILE:KEY 私钥文件的路径和文件名。
  • LOCATION:目标 Google Cloud 位置。

Terraform

如需上传自行管理的证书,您可以使用包含 self_managed 代码块的 google_certificate_manager_certificate 资源

API

通过向 certificates.create 方法发出 POST 请求来上传证书,如下所示:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

替换以下内容:

  • PROJECT_ID: Google Cloud 项目的 ID。
  • CERTIFICATE_NAME:证书的名称。
  • PEM_CERTIFICATE:证书 PEM。
  • PEM_KEY:密钥 PEM。
  • LOCATION:目标 Google Cloud 位置。

将自行管理的证书部署到负载均衡器

如需部署自行管理的证书,请将其直接附加到目标代理。

将证书直接附加到目标代理

您可以将证书附加到新的目标代理或现有目标代理。

如需将证书附加到新的目标代理,请使用 gcloud compute target-https-proxies create 命令

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

替换以下内容:

  • PROXY_NAME:目标代理的名称。
  • CERTIFICATE_NAME:证书的名称。
  • URL_MAP:网址映射的名称。您在创建负载均衡器时创建了网址映射。
  • LOCATION:您要创建 HTTPS 目标代理的目标 Google Cloud 位置。

如需将证书附加到现有目标 HTTPS 代理,请使用 gcloud compute target-https-proxies update 命令。如果您不知道现有目标代理的名称,请前往目标代理页面,并记下目标代理的名称。

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

创建或更新目标代理后,运行以下命令对其进行验证:

gcloud compute target-https-proxies list

清理

为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除上传的证书:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

CERTIFICATE_NAME 替换为目标证书的名称。

如果您不打算使用负载均衡器,请删除该负载均衡器及其资源。请参阅清理负载均衡设置