Automatiser le cycle de vie des certificats pour les équilibreurs de charge

Découvrez comment utiliser Certificate Manager (2e génération) pour automatiser le cycle de vie d'un certificat géré par Google pour un équilibreur de charge d'application global.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Vous devez disposer d'un équilibreur de charge d'application existant avec au moins un proxy HTTPS cible. Pour en savoir plus, consultez Choisir un équilibreur de charge.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer la gestion du cycle de vie, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour configurer la gestion du cycle de vie. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Vous devez disposer des autorisations suivantes pour configurer la gestion du cycle de vie :

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Configurer la gestion du cycle de vie des certificats

Pour configurer la gestion du cycle de vie de votre certificat d'équilibreur de charge :

  1. Dans la console Google Cloud , accédez à Certificate Manager (2e génération).

    Accéder au Gestionnaire de certificats (2e génération)

  2. Dans le menu de navigation, cliquez sur Gérer le cycle de vie.

  3. Cliquez sur l'onglet Équilibrage de charge. La liste de vos équilibreurs de charge s'affiche.

  4. Développez la ligne de l'équilibreur de charge pour afficher les certificats associés.

  5. Cliquez sur le nom du proxy cible.

  6. Cliquez sur Configurer la gestion du cycle de vie. La page affiche la liste des certificats associés que vous pouvez ajouter ou supprimer.

  7. Cliquez sur Certificat, puis sur Ajouter un certificat.

  8. Sélectionnez un certificat existant ou créez-en un.

  9. Saisissez les informations suivantes pour le nouveau certificat :

    • Nom : saisissez un nom unique (par exemple, my-lb-cert).
    • Champ d'application : sélectionnez le champ d'application de distribution de clés approprié (par exemple, Default).
    • Type de certificat : sélectionnez "Certificats autogérés" ou "Certificats gérés par Google". Pour en savoir plus, consultez la section Types de certificats.
    • Nom de domaine : saisissez le nom de domaine couvert par ce certificat (par exemple, app.example.com). Vous devez contrôler ce domaine.
    • Configuration de l'émission : sélectionnez votre configuration d'émission existante dans la liste. Cette configuration définit l'autorité de certification, la durée de vie et le type de clé.

  10. Cliquez sur Créer. La console ajoute le nouveau certificat à la liste du proxy cible.

  11. Consultez la liste des certificats, puis cliquez sur Mettre à jour pour appliquer les modifications au proxy cible.

Vérifier la configuration

Pour vérifier la configuration du certificat :

  1. Vérifiez l'état du certificat. L'émission et le provisionnement peuvent prendre de quelques minutes à quelques heures. Le certificat commence par l'état En attente.

  2. Surveillez l'état du certificat dans l'onglet Certificats du gestionnaire de certificats (2e génération). Lorsque l'état est Actif, le certificat est prêt.

  3. Assurez-vous que les enregistrements DNS de votre domaine pointent vers l'adresse IP de l'équilibreur de charge.

  4. Testez la configuration en accédant à votre service à l'aide de HTTPS (par exemple, https://app.example.com).

Effectuer un nettoyage

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre compte Google Cloud , procédez comme suit :

  1. Supprimez le certificat du proxy cible :

    1. Accédez à l'onglet Gérer le cycle de vie> Équilibrage de charge pour votre proxy cible.
    2. Recherchez le certificat que vous avez créé (my-lb-cert).
    3. Supprimez le certificat de la liste.
    4. Cliquez sur Mettre à jour.

  2. Supprimez la ressource de certificat :

    1. Accédez à l'onglet Certificats dans Certificate Manager (2e génération).
    2. Sélectionnez le certificat (my-lb-cert).
    3. Cliquez sur Supprimer.

Vous n'avez pas besoin de supprimer l'équilibreur de charge, le proxy cible ni la configuration d'émission de certificats que vous avez créés ou utilisés dans ce guide de démarrage rapide.

Étapes suivantes