ロードバランサの証明書のライフサイクルを自動化する

Certificate Manager(第 2 世代)を使用して、グローバル アプリケーション ロードバランサの Google マネージド証明書のライフサイクルを自動化する方法について説明します。

始める前に

  1. アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、実際のシナリオで Google プロダクトのパフォーマンスを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Compute Engine, Certificate Manager, Certificate Authority Service APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.
  8. ターゲット HTTPS プロキシが 1 つ以上ある既存のアプリケーション ロードバランサが必要です。詳細については、 ロードバランサを選択するをご覧ください。

必要なロール

ライフサイクル管理を構成するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには ライフサイクル管理を構成するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

ライフサイクル管理を構成するには、次の権限が必要です。

  • compute.targetHttpsProxies.update
  • compute.targetSslProxies.update
  • compute.targetHttpsProxies.setCertificateMap
  • compute.targetSslProxies.setCertificateMap
  • compute.sslCertificates.*

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

証明書のライフサイクル管理を構成する

ロードバランサ証明書のライフサイクル管理を構成するには:

  1. コンソールで、[**Certificate Manager(第 2 世代)**] に移動します。 Google Cloud

    Certificate Manager(第 2 世代)に移動

  2. ナビゲーション メニューで、[ライフサイクルの管理] をクリックします。

  3. [ロード バランシング] タブをクリックします。ロードバランサのリストが表示されます。

  4. ロードバランサの行を開いて、接続されている証明書を表示します。

  5. ターゲット プロキシ の名前をクリックします。

  6. [ライフサイクル管理を構成] をクリックします。ページに、追加または削除できる関連付けられた証明書のリストが表示されます。

  7. [証明書] をクリックし、[証明書を追加] をクリックします。

  8. 既存の証明書を選択するか、新しい証明書を作成します。

  9. 新しい証明書の次の詳細情報を入力します。

    • 名前: 一意の名前(my-lb-cert など)を入力します。
    • スコープ: 適切な鍵配布スコープ(Default など)を選択します。
    • 証明書の種類: セルフマネージド証明書または Google マネージド証明書を選択します。詳細については、 証明書の種類をご覧ください。
    • ドメイン名: この証明書が対象とするドメイン名(app.example.com など)を入力します。このドメインは、お客様が管理しているドメインである必要があります。
    • 発行構成: リストから既存の発行構成を選択します。この構成によって、認証局、有効期間、鍵の種類が決まります。

  10. [作成] をクリックします。コンソールで、新しい証明書がターゲット プロキシのリストに追加されます。

  11. 証明書のリストを確認し、[更新] をクリックして、ターゲット プロキシに変更を適用します。

構成を確認する

証明書の構成を確認するには:

  1. 証明書のステータスを確認します。発行とプロビジョニングには数分から数時間かかることがあります。証明書のステータスは最初は [保留中] です。

  2. Certificate Manager(第 2 世代)の [証明書] タブで証明書のステータスをモニタリングします。ステータスが [有効] になったら、証明書を 使用できます。

  3. ドメインの DNS レコードがロードバランサの IP アドレスを指していることを確認します。

  4. HTTPS(https://app.example.com など)を使用してサービスにアクセスし、設定をテストします。

クリーンアップ

このページで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、 次の手順を実施します。

  1. ターゲット プロキシから証明書を削除します。

    1. ターゲット プロキシの [ライフサイクルの管理 > ロード バランシング] タブに移動します。
    2. 作成した証明書(my-lb-cert)を見つけます。
    3. リストから証明書を削除します。
    4. [更新] をクリックします。

  2. 証明書リソースを削除します。

    1. Certificate Manager(第 2 世代)の [証明書] タブに移動します。
    2. 証明書(my-lb-cert)を選択します。
    3. [削除] をクリックします。

このクイックスタートで作成または使用したロードバランサ、ターゲット プロキシ、証明書発行構成を削除する必要はありません。

次のステップ