Automatizzare il ciclo di vita dei certificati per i bilanciatori del carico

Scopri come utilizzare Certificate Manager (2ª generazione.) per automatizzare il ciclo di vita di un certificato gestito da Google per un bilanciatore del carico delle applicazioni globale.

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. Devi avere un bilanciatore del carico delle applicazioni esistente con almeno un proxy HTTPS di destinazione. Per saperne di più, consulta Scegliere un bilanciatore del carico.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per configurare la gestione del ciclo di vita, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per configurare la gestione del ciclo di vita. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per configurare la gestione del ciclo di vita sono necessarie le seguenti autorizzazioni:

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Configurare la gestione del ciclo di vita dei certificati

Per configurare la gestione del ciclo di vita per il certificato del bilanciatore del carico:

  1. Nella Google Cloud console, vai a Certificate Manager (2ª generazione.).

    Vai a Certificate Manager (2ª generazione.)

  2. Nel menu di navigazione, fai clic su Gestisci ciclo di vita.

  3. Fai clic sulla scheda Bilanciamento del carico. Viene visualizzato un elenco dei bilanciatori del carico.

  4. Espandi la riga del bilanciatore del carico per visualizzare i certificati collegati.

  5. Fai clic sul nome del proxy di destinazione.

  6. Fai clic su Configura gestione del ciclo di vita. La pagina mostra un elenco di certificati associati che puoi aggiungere e rimuovere.

  7. Fai clic su Certificato e poi su Aggiungi certificato.

  8. Seleziona un certificato esistente o creane uno nuovo.

  9. Inserisci i seguenti dettagli per il nuovo certificato:

    • Nome:inserisci un nome univoco (ad esempio my-lb-cert).
    • Ambito:seleziona l'ambito di distribuzione delle chiavi appropriato (ad esempio Default).
    • Tipo di certificato:seleziona certificati autogestiti o gestiti da Google. Per saperne di più, consulta Tipi di certificati.
    • Nome di dominio:inserisci il nome di dominio coperto da questo certificato (ad esempio app.example.com). Questo dominio deve essere sotto il tuo controllo.
    • Configurazione dell'emissione:seleziona la configurazione dell'emissione esistente dall'elenco. Questa configurazione determina l'autorità di certificazione, la durata e il tipo di chiave.

  10. Fai clic su Crea. La console aggiunge il nuovo certificato all'elenco per il proxy di destinazione.

  11. Esamina l'elenco dei certificati e fai clic su Aggiorna per applicare le modifiche al proxy di destinazione.

Verificare la configurazione

Per verificare la configurazione del certificato:

  1. Controlla lo stato del certificato. L'emissione e il provisioning possono richiedere da diversi minuti a qualche ora. Il certificato inizia con lo stato In attesa.

  2. Monitora lo stato del certificato nella scheda Certificati all'interno di Gestore certificati (2ª generazione.). Quando lo stato è Attivo, il certificato è pronto.

  3. Assicurati che i record DNS del tuo dominio rimandino all'indirizzo IP del bilanciatore del carico.

  4. Verifica la configurazione accedendo al servizio utilizzando HTTPS (ad esempio https://app.example.com).

Libera spazio

Per evitare che al tuo Google Cloud account vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

  1. Rimuovi il certificato dal proxy di destinazione :

    1. Vai alla scheda Gestisci ciclo di vita > Bilanciamento del carico per il proxy di destinazione.
    2. Trova il certificato che hai creato (my-lb-cert).
    3. Rimuovi il certificato dall'elenco.
    4. Fai clic su Aggiorna.

  2. Elimina la risorsa del certificato :

    1. Vai alla scheda Certificati in Certificate Manager (2ª generazione.).
    2. Seleziona il certificato (my-lb-cert).
    3. Fai clic su Elimina.

Non devi eliminare il bilanciatore del carico, il proxy di destinazione o la configurazione dell'emissione dei certificati che hai creato o utilizzato in questa guida rapida.

Passaggi successivi