部署地區自行管理的憑證

本教學課程說明如何使用 Certificate Manager,將自行管理的憑證部署至區域外部應用程式負載平衡器或區域內部應用程式負載平衡器。

如要部署至全域外部或跨區域負載平衡器,請參閱下列內容:

將自行管理的憑證上傳至 Certificate Manager

如要將憑證上傳至 Certificate Manager,請按照下列步驟操作:

主控台

  1. 前往 Google Cloud 控制台的「Certificate Manager」頁面。

    前往 Certificate Manager

  2. 在「憑證」分頁中,按一下「新增憑證」

  3. 在「憑證名稱」欄位中,輸入憑證的專屬名稱。

  4. 選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。

  5. 在「位置」部分,選取「區域」

  6. 從「Region」(區域) 清單中選取您的區域。

  7. 在「憑證類型」部分,選取「建立自行管理的憑證」

  8. 在「憑證」欄位中,執行下列任一操作:

    • 按一下「上傳」按鈕,然後選取 PEM 格式的憑證檔案。
    • 複製並貼上 PEM 格式憑證的內容。內容開頭必須是 -----BEGIN CERTIFICATE-----,結尾必須是 -----END CERTIFICATE-----

  9. 在「私密金鑰憑證」欄位中,執行下列任一操作:

    • 按一下「上傳」按鈕,然後選取私密金鑰。私密金鑰必須採用 PEM 格式,且不得受密碼保護。
    • 複製並貼上 PEM 格式的私密金鑰內容。私密金鑰開頭須為 -----BEGIN PRIVATE KEY-----,結尾須為 -----END PRIVATE KEY-----

  10. 在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。

  11. 點選「建立」

    新憑證會顯示在憑證清單中。

gcloud

如要建立地區自行管理的憑證,請執行 certificate-manager certificates create 指令

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --location="LOCATION"

更改下列內容:

  • CERTIFICATE_NAME:憑證名稱。
  • CERTIFICATE_FILE:CRT 憑證檔案的路徑和檔案名稱。
  • PRIVATE_KEY_FILE:KEY 私密金鑰檔案的路徑和檔案名稱。
  • LOCATION:目標 Google Cloud 位置。

Terraform

如要上傳自行管理的憑證,可以使用具有 self_managed 區塊的 google_certificate_manager_certificate 資源

API

certificates.create 方法發出 POST 要求,即可上傳憑證,如下所示:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID。
  • CERTIFICATE_NAME:憑證名稱。
  • PEM_CERTIFICATE:憑證 PEM。
  • PEM_KEY:金鑰 PEM。
  • LOCATION:目標 Google Cloud 位置。

將自行管理的憑證部署至負載平衡器

如要部署自行管理的憑證,請直接將憑證附加至目標 Proxy。

將憑證直接附加至目標 Proxy

您可以將憑證附加至新的或現有的目標 Proxy。

如要將憑證附加至新的目標 Proxy,請使用 gcloud compute target-https-proxies create 指令

gcloud compute target-https-proxies create PROXY_NAME \
    --certificate-manager-certificates=CERTIFICATE_NAME \
    --url-map=URL_MAP \
    --region=LOCATION

更改下列內容:

  • PROXY_NAME:目標 Proxy 的名稱。
  • CERTIFICATE_NAME:憑證名稱。
  • URL_MAP:網址對應表名稱。建立負載平衡器時,您已建立網址對應。
  • LOCATION:要建立 HTTPS 目標 Proxy 的目標 Google Cloud 位置。

如要將憑證附加至現有的目標 HTTPS Proxy,請使用 gcloud compute target-https-proxies update 指令。如果不知道現有目標 Proxy 的名稱,請前往「目標 Proxy頁面,並記下目標 Proxy 的名稱。

gcloud compute target-https-proxies update PROXY_NAME \
    --region=LOCATION \
    --certificate-manager-certificates=CERTIFICATE_NAME

建立或更新目標 Proxy 後,請執行下列指令進行驗證:

gcloud compute target-https-proxies list

清除所用資源

如要避免系統向您的 Google Cloud 帳戶收取這個教學課程所用資源的費用,請刪除上傳的憑證:

gcloud certificate-manager certificates delete CERTIFICATE_NAME

CERTIFICATE_NAME 替換為目標憑證的名稱。

如果您不打算使用負載平衡器,請刪除負載平衡器及其資源。請參閱清除負載平衡設定