このチュートリアルでは、Certificate Manager を使用してサードパーティ証明書をGoogle Cloud ロードバランサに移行する方法について説明します。
サードパーティの証明書をダウンタイムなしで移行するには、サードパーティの証明書と同じ数の Google 管理証明書を作成します。次に、証明書を 1 つの証明書マップに統合し、DNS を使用して証明書マップをロードバランサにデプロイします。最後に、DNS A レコードと AAAA レコードを更新して、ロードバランサの IP アドレスを指定します。
サポートされているロードバランサの一覧については、Certificate Manager の概要をご覧ください。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- DNS 認証を使用した Google マネージド証明書を作成する。
- すべての証明書に 1 つの証明書マップを作成する。
- DNS を使用して証明書をロードバランサにデプロイします。
- ロードバランサの IP アドレスを指すように DNS A レコードと AAAA レコードを更新する。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します。
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します。
gcloud init Certificate Manager オーナー(
roles/certificatemanager.owner)Certificate Manager リソースの作成と管理に必要です。
Compute ロードバランサ管理者(
roles/compute.loadBalancerAdmin)または Compute ネットワーク管理者(roles/compute.networkAdmin)HTTPS ターゲット プロキシの作成と管理に必要です。
DNS 管理者(
roles/dns.admin)DNS ソリューションとして Cloud DNS を使用する場合に必要です。
- Certificate Manager のロールと権限。
- Compute Engine の Compute Engine の IAM ロールと権限。
- Cloud DNS のロールと権限。
AUTHORIZATION_NAME: DNS 認証の名前。DOMAIN_NAME: この DNS 認証を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。AUTHORIZATION_NAME: DNS 認証の名前。DOMAIN_NAME: この DNS 認証を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。PROJECT_ID: Google Cloud プロジェクトの IDAUTHORIZATION_NAME: DNS 認証の名前。DOMAIN_NAME: この DNS 認証を作成するターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。Google Cloud コンソールで、[Certificate Manager] ページに移動します。
[証明書] タブで、[証明書を追加] をクリックします。
[証明書名] フィールドに、証明書の一意の名前を入力します。
省略可: [説明] フィールドに証明書の説明を入力します。説明は、証明書を識別するために使用します。
[ロケーション] で [グローバル] を選択します。
[範囲] で [デフォルト] を選択します。
[証明書の種類] で [Google マネージド証明書を作成する] を選択します。
[認証局のタイプ] で [公開] を選択します。
[ドメイン名] フィールドに、証明書のドメイン名をカンマ区切りで指定します。各ドメイン名は完全修飾ドメイン名(
myorg.example.comなど)にする必要があります。 ドメイン名は、*.example.comなどのワイルドカード ドメイン名にすることもできます。[認証タイプ] で [DNS 認証] を選択します。
このページには、ドメイン名の DNS 認証が一覧表示されます。ドメイン名に関連付けられた DNS 認証がない場合は、次の手順で作成します。
- [見つからない DNS 認証の作成] をクリックします。
- [DNS 認証名] フィールドに、DNS 認証の名前を指定します。デフォルトの DNS 認証タイプは
FIXED_RECORDです。複数のプロジェクトで証明書を個別に管理するには、[プロジェクトごとの認証] チェックボックスをオンにします。 - [DNS 認証を作成] をクリックします。
[ラベル] フィールドで、証明書に関連付けるラベルを指定します。ラベルを追加するには、[ラベルを追加] をクリックして、ラベルのキーと値を指定します。
[作成] をクリックします。
新しい証明書が証明書のリストに表示されます。
CERTIFICATE_NAME: 証明書の名前。DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は、完全修飾ドメイン名(myorg.example.comなど)またはワイルドカード ドメイン(*.myorg.example.comなど)にする必要があります。アスタリスク ドットの接頭辞((*.))は、ワイルドカード証明書を示します。AUTHORIZATION_NAMES: 証明書用に作成した DNS 認証の名前のカンマ区切りリスト。PROJECT_ID: Google Cloud プロジェクトの IDCERTIFICATE_NAME: 証明書の名前。DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は、完全修飾ドメイン名(myorg.example.comなど)またはワイルドカード ドメイン(*.myorg.example.comなど)にする必要があります。アスタリスク ドットの接頭辞(*.)は、ワイルドカード証明書を示します。AUTHORIZATION_NAMES: DNS 認証の名前のカンマ区切りリスト。Google Cloud コンソールで、[DNS ゾーン] ページに移動します。
レコードを追加する DNS ゾーンの名前をクリックします。
[ゾーンの詳細] ページで、[標準を追加] をクリックします。
[レコードセットの作成] ページの [DNS 名] フィールドに、DNS ゾーンのサブドメインを入力します。
サブドメイン名を入力するときは、[DNS 名] フィールドに表示されているグレー表示のテキストを含むサブドメイン名が、
gcloud certificate-manager dns-authorizations describeコマンドの出力に表示されているdnsResourceRecord.nameフィールドの完全な値と一致していることを確認します。次の例をご覧ください。
dnsResourceRecord.nameフィールドの値が_acme-challenge.myorg.example.com.で、[DNS 名] フィールドのグレー表示のテキストが.example.com.の場合は、_acme-challenge.myorgと入力します。dnsResourceRecord.nameフィールドの値が_acme-challenge.myorg.example.com.で、[DNS 名] フィールドのグレー表示のテキストが.myorg.example.com.の場合は、_acme-challengeと入力します。dnsResourceRecord.nameフィールドの値が_acme-challenge_ujmmovf2vn55tgye.myorg.example.com.で、[DNS 名] フィールドのグレー表示のテキストが.myorg.example.com.の場合は、_acme-challenge_ujmmovf2vn55tgyeと入力します。
[リソース レコードのタイプ] フィールドで [CNAME] を選択します。
[TTL] フィールドに、リソース レコードの有効期間を数値で入力します。これはキャッシュに保存できる時間です。
[TTL ユニット] リストから、時間の単位(例:
30 minutes)を選択します。[正規名] フィールドに、
gcloud certificate-manager dns-authorizations describeコマンドの出力に表示されているdnsResourceRecord.dataフィールドの完全な値を入力します。追加情報を入力するには、[項目を追加] をクリックします。
[作成] をクリックします。
DNS レコード トランザクションを次のように開始します。
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
DNS_ZONE_NAMEは、ターゲット DNS ゾーンの名前に置き換えます。CNAME レコードをターゲット DNS ゾーンに追加します。
gcloud dns record-sets transaction add CNAME_RECORD \ --name="VALIDATION_SUBDOMAIN_NAME.DOMAIN_NAME." \ --ttl="30" \ --type="CNAME" \ --zone="DNS_ZONE_NAME"以下を置き換えます。
CNAME_RECORD: 対応する DNS 認証を作成した Google Cloud CLI コマンドによって返される CNAME レコードの完全なデータ値。VALIDATION_SUBDOMAIN_NAME: DNS ゾーンの接頭辞サブドメイン(例:_acme-challenge)。DNS 認証を作成するの説明に沿って、gcloud certificate-manager dns-authorizations describeコマンドログから名前をコピーできます。DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。また、ターゲット ドメイン名の後にピリオドを含める必要があります。DNS_ZONE_NAME: ターゲット DNS ゾーンの名前。
FIXED_RECORDとPER_PROJECT_RECORDの DNS 認証の違いについては、次の例をご覧ください。2 つの例の違いは、--nameフラグの値だけです。FIXED_RECORD DNS 認証
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"PER_PROJECT_RECORD DNS 認証
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \ --name="_acme-challenge_ujmmovf2vn55tgye.myorg.example.com." \ --ttl="30" \ --type="CNAME" \ --zone="myorg-example-com"DNS レコード トランザクションを実行して変更を保存します。
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
DNS_ZONE_NAMEは、ターゲット DNS ゾーンの名前に置き換えます。Google Cloud コンソールで、[Certificate Manager] ページに移動します。
[証明書] タブで、証明書の [ステータス] 列を確認します。
CERTIFICATE_MAP_ENTRY_NAME: 証明書マップ エントリの名前。CERTIFICATE_MAP_NAME: 証明書マップエントリが添付されている証明書マップの名前。CERTIFICATE_NAME: 証明書マップエントリに関連付ける証明書の名前。HOSTNAME: 証明書マップエントリに関連付けるホスト名。ワイルドカード ドメインとルートドメインの両方をカバーする証明書を作成する場合は、
example.comや*.example.comなど、ルートとワイルドカードを使用してホスト名を指定します。また、example.com用と*.example.com用の 2 つの証明書マップエントリを指定する必要があります。CERTIFICATE_MAP_ENTRY_NAME: 証明書マップ エントリの名前。CERTIFICATE_NAME: 証明書マップエントリに関連付ける証明書の名前。PROXY_NAME: ターゲット プロキシの名前CERTIFICATE_MAP_NAME: 証明書マップエントリと関連する証明書を参照する証明書マップの名前。URL_MAP: URL マップの名前。DOMAIN_NAME: ターゲット ドメインの名前IP_ADDRESS: ロードバランサの IP アドレス
必要なロール
このチュートリアルのタスクを完了するための次のロールがあることを確認してください。
詳しくは以下をご覧ください。
Google マネージド証明書を作成する
サードパーティの証明書と同じ数の DNS 認証を使用した Google マネージド証明書(推奨)またはセルフマネージド証明書を作成します。証明書を作成する前に、DNS 認証を作成し、ドメインの権威 DNS ゾーンに CNAME レコードを追加します。
このセクションでは、グローバル Google マネージド証明書を作成する手順とコマンドについて説明します。リージョンまたはクロスリージョン Google マネージド証明書を作成するには、Google マネージド証明書を作成するをご覧ください。
DNS 認証を作成する
DNS 認証は 1 つのドメイン名のみを対象とします。ターゲット証明書で使用するドメイン名ごとに、個別の DNS 認証を作成する必要があります。
*.myorg.example.com などのワイルドカード証明書用の DNS 認証を作成する場合は、親ドメイン(myorg.example.com など)の DNS 認証を構成します。
コンソール
DNS 認証を作成することも、証明書の作成時に既存の DNS 認証を添付することもできます。詳細については、DNS 認証を参照する Google マネージド証明書を作成するをご覧ください。
gcloud
FIXED_RECORD または PER_PROJECT_RECORD の 2 種類の DNS 認証を作成できます。詳細については、DNS 認可をご覧ください。
FIXED_RECORD DNS 認証
FIXED_RECORD DNS 認証を作成するには、次の gcloud certificate-manager dns-authorizations create コマンドを使用します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
--domain="DOMAIN_NAME" \
--type=[FIXED_RECORD]
次のように置き換えます。
FIXED_RECORD DNS 認証を作成したら、gcloud certificate-manager dns-authorizations describe コマンドで確認します。
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
出力は次のようになります。出力で、dnsResourceRecord セクションを見つけます。CNAME レコードを見つけて、レコードの詳細(data、name、type)を DNS 構成に追加します。
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
PER_PROJECT_RECORD DNS 認証
PER_PROJECT_RECORD DNS 認証を作成するには、次の gcloud certificate-manager dns-authorizations create コマンドを使用します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \
--domain="DOMAIN_NAME" \
--type=PER_PROJECT_RECORD
次のように置き換えます。
PER_PROJECT_RECORD DNS 認証を作成したら、gcloud certificate-manager dns-authorizations describe コマンドで確認します。
gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
出力は次のようになります。出力で、dnsResourceRecord セクションを見つけます。CNAME レコードを見つけて、レコードの詳細(data、name、type)を DNS 構成に追加します。
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge_ujmmovf2vn55tgye.myorg.example.com type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
DNS 認証を作成するには、google_certificate_manager_dns_authorization リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
API
DNS 認証を作成するには、dnsAuthorizations.create メソッドに POST リクエストを送信します。
POST /v1/projects/PROJECT_ID/locations/global/dnsAuthorizations?dns_authorization_id=AUTHORIZATION_NAME"
{
"domain": "DOMAIN_NAME",
"type": "PER_PROJECT_RECORD" //optional
}
次のように置き換えます。
DNS 認証を参照する Google マネージド証明書を作成する
前の手順で作成した DNS 認証を参照するグローバル Google マネージド証明書を作成するには、次の手順に従います。
コンソール
gcloud
DNS 認証を使用してグローバル Google マネージド証明書を作成するには、dns-authorizations フラグを指定して certificate-manager certificates create コマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAME,*.DOMAIN_NAME" \
--dns-authorizations="AUTHORIZATION_NAMES"
以下を置き換えます。
Terraform
API
次のように、certificates.create メソッドに POST リクエストを送信して証明書を作成します。
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
"managed": {
"domains": ["DOMAIN_NAME"],
"dnsAuthorizations": [
"projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
],
}
}
次のように置き換えます。
DNS 構成に CNAME レコードを追加する
サードパーティの DNS ソリューションを使用して DNS を管理している場合は、そのドキュメントを参照して、DNS 構成に CNAME レコードを追加してください。Google Cloud を使用して DNS を管理している場合は、このセクションの手順を完了します。
コンソール
レコードセットを作成する手順は次のとおりです。
gcloud
DNS 認証を作成するとき、gcloud CLI コマンドは対応する CNAME レコードを返します。ターゲット ドメインの DNS ゾーンの DNS 構成に CNAME レコードを追加する手順は次のとおりです。
Terraform
DNS 構成に CNAME レコードを追加するには、google_dns_record_set リソースを使用します。
証明書のステータスを確認する
証明書をロードバランサにデプロイする前に、証明書が有効であることを確認します。証明書の状態が ACTIVE に変わるまで数分かかることがあります。
コンソール
gcloud
証明書のステータスを確認するには、次のコマンドを実行します。
gcloud certificate-manager certificates describe CERTIFICATE_NAME
CERTIFICATE_NAME は、ターゲット Google マネージド証明書の名前に置き換えます。
出力は次のようになります。
createTime: '2021-10-20T12:19:53.370778666Z'
expireTime: '2022-05-07T05:03:49Z'
managed:
authorizationAttemptInfo:
- domain: myorg.example.com
state: AUTHORIZED
dnsAuthorizations:
- projects/myProject/locations/global/dnsAuthorizations/myCert
domains:
- myorg.example.com
state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'
数時間経っても証明書のステータスが ACTIVE にならない場合は、CNAME レコードが DNS 構成に正しく追加されていることを確認してください。
その他のトラブルシューティングの手順については、Certificate Manager のトラブルシューティングをご覧ください。
証明書をロードバランサにデプロイする
グローバル Google マネージド証明書をデプロイするには、このセクションの手順に沿って、証明書マップを使用して証明書をデプロイします。
Google マネージド証明書をリージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサ、あるいはクロスリージョン内部アプリケーション ロードバランサにデプロイするには、証明書をターゲット プロキシに直接接続します。
証明書マップを作成する
証明書に関連付けられた証明書マップエントリを参照する証明書マップを作成します。
gcloud
証明書マップを作成するには、gcloud certificate-manager maps create コマンドを使用します。
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAME は、ターゲット証明書マップの名前に置き換えます。
Terraform
証明書マップを作成するには、google_certificate_manager_certificate_map リソースを使用します。
証明書マップエントリを作成する
証明書マップエントリを作成し、証明書と証明書マップに関連付けます。
gcloud
証明書マップエントリを作成するには、gcloud certificate-manager maps entries create コマンドを使用します。
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAME" \
--hostname="HOSTNAME"
以下を置き換えます。
Terraform
ルートドメインを使用して証明書マップエントリを作成するには、google_certificate_manager_certificate_map_entry リソースを使用します。
ワイルドカード ドメインを使用して証明書マップエントリを作成するには、google_certificate_manager_certificate_map_entry リソースを使用します。
証明書マップエントリが有効であることを確認する
証明書マップエントリに対応する証明書マップをターゲット プロキシに接続する前に、証明書マップエントリが有効であることを確認します。
証明書マップエントリを確認するには、gcloud certificate-manager maps entries describe コマンドを使用します。
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
以下を置き換えます。
出力は次のようになります。
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
証明書マップをターゲット プロキシに添付する
証明書マップは、新しいターゲット プロキシまたは既存のターゲット プロキシに接続できます。
gcloud
証明書マップを新しいターゲット プロキシに添付するには、gcloud compute target-https-proxies create コマンドを使用します。
gcloud compute target-https-proxies create PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME" \
--url-map="URL_MAP" \
--global
以下を置き換えます。
証明書マップを既存のターゲット HTTPS プロキシに添付するには、gcloud compute target-https-proxies update コマンドを使用します。既存のターゲット プロキシの名前がわからない場合は、[ターゲット プロキシ] ページに移動して、ターゲット プロキシの名前を確認します。
gcloud compute target-https-proxies update PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME" \
--global
ターゲット プロキシを作成または更新したら、次のコマンドを実行して確認します。
gcloud compute target-https-proxies list
Terraform
証明書マップをターゲット プロキシに添付するには、google_compute_target_https_proxy リソースを使用します。
ターゲット プロキシを構成するときに、TLS(SSL)証明書を直接添付し、証明書マップを介して添付すると、プロキシは証明書マップで参照される証明書を使用し、直接添付された TLS(SSL)証明書を無視します。
デプロイされた証明書をテストする
デプロイした証明書ごとに、次のコマンドを使用して、ロードバランサの IP アドレスにある証明書でカバーされている各ドメインへの接続をテストします。
openssl s_client -showcerts -servername DOMAIN_NAME -connect IP_ADDRESS:443
以下を置き換えます。
接続のテストの詳細については、OpenSSL でテストするをご覧ください。
DNS レコードを更新する
サードパーティ サービスから Cloud Load Balancing にトラフィックを切り替えます。ロードバランサの IP アドレスを指すように DNS A レコードと AAAA レコードを更新するをご覧ください。