Use certificados SSL geridos pela Google

Esta página aborda como criar e usar certificados SSL geridos pela Google do Compute Engine.

Para criar certificados geridos pela Google através do Gestor de certificados, consulte a Vista geral da implementação.

Os certificados SSL geridos pela Google são certificados de validação de domínio (DV) que a Google Google Cloud obtém e gere para os seus domínios. Suportam vários nomes de anfitrião em cada certificado e a Google renova os certificados automaticamente.

Os certificados geridos pela Google são suportados com os seguintes equilibradores de carga:

• Balanceador de carga de aplicações externo global
• Balanceador de carga de aplicações clássico
• Balanceador de carga de rede de proxy externo (com um proxy SSL de destino)

Os certificados SSL geridos pela Google do Compute Engine não são suportados para balanceadores de carga de aplicações externos regionais, balanceadores de carga de aplicações internos regionais nem balanceadores de carga de aplicações internos entre regiões. Para estes equilibradores de carga, pode usar certificados SSL autogeridos do Compute Engine ou considerar usar o gestor de certificados.

Também pode usar certificados SSL geridos com o Google Kubernetes Engine. Para mais informações, consulte o artigo Usar certificados SSL geridos pela Google.

Pode criar um certificado gerido pela Google antes, durante ou depois de criar o balanceador de carga. Esta página pressupõe que está a criar o certificado do Compute Engine antes ou depois de criar o balanceador de carga e não durante. Para criar o certificado enquanto cria o balanceador de carga, consulte as páginas de instruções do balanceador de carga.

Antes de começar

• Certifique-se de que conhece a vista geral dos certificados SSL.
• Certifique-se de que tem os nomes de domínio que quer usar para o seu certificado SSL gerido pela Google. Se estiver a usar o Cloud Domains, consulte o artigo Registe um domínio.

• Certifique-se de que ativou a API Compute Engine para o seu projeto.

  Ative a API Compute Engine

Autorizações

Para seguir este guia, tem de conseguir criar e modificar certificados SSL no seu projeto. Pode fazê-lo se uma das seguintes afirmações for verdadeira:

• É proprietário ou editor (roles/owner ou roles/editor) de um projeto.
• Tem a função de administrador de segurança de computação (compute.securityAdmin) e a função de administrador de rede de computação (compute.networkAdmin) no projeto.
• Tem uma função personalizada para o projeto que inclui as autorizações compute.sslCertificates.* e uma ou ambas as autorizações compute.targetHttpsProxies.* e compute.targetSslProxies.*, consoante o tipo de equilibrador de carga que está a usar.

Passo 1. Crie um certificado SSL gerido pela Google

Pode criar um certificado gerido pela Google antes, durante ou depois de criar o balanceador de carga. Durante o processo de criação de um equilibrador de carga na Google Cloud consola, pode usar a Google Cloud consola para criar o seu certificado. Em alternativa, pode criar o certificado antes ou depois de criar o equilibrador de carga. Este passo mostra como criar um certificado que pode adicionar posteriormente a um ou mais equilibradores de carga.

Se já criou o seu certificado SSL gerido pela Google, pode ignorar este passo.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Verifique o estado de um certificado SSL gerido pela Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

Neste ponto, o estado do certificado e o estado do domínio são PROVISIONING. Depois de concluir os passos nesta página, os estados mudam para ACTIVE.

Para mais informações sobre os estados, consulte a página de resolução de problemas.

Passo 2: crie ou atualize o balanceador de carga

Para se tornar ACTIVE, o certificado SSL gerido pela Google tem de estar associado a um equilibrador de carga, especificamente ao proxy de destino do equilibrador de carga.

Depois de criar o certificado SSL e este estar no estado PROVISIONING, pode usá-lo durante a criação do equilibrador de carga, conforme descrito nos seguintes guias de instruções:

• Configure um Application Load Balancer externo global com um back-end do Compute Engine
• Configure um Application Load Balancer clássico com um back-end do Compute Engine
• Configure um balanceador de carga de rede de proxy externo com um proxy SSL

Em alternativa, pode usá-lo para atualizar um equilibrador de carga existente, conforme descrito aqui:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Cada proxy HTTPS ou proxy SSL de destino tem de fazer referência a, pelo menos, um certificado SSL. Um proxy de destino pode fazer referência a mais do que um certificado SSL. Para ver detalhes, consulte Pools de destino e proxies de destino nas quotas e nos limites de recursos de equilíbrio de carga.

Passo 3: valide a associação do proxy de destino

Depois de criar ou atualizar o equilibrador de carga, pode certificar-se de que o certificado SSL está associado ao proxy de destino do equilibrador de carga.

Se ainda não souber o nome do proxy de destino, use os comandos gcloud compute target-https-proxies list e gcloud compute target-ssl-proxies list para listar os proxies de destino no seu projeto.

Valide a associação entre o certificado SSL e o proxy de destino executando o seguinte comando.

Para balanceadores de carga de aplicações externos globais:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Para equilibradores de carga de rede de proxy externos:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

Neste momento, o estado do certificado gerido pela Google ainda pode ser PROVISIONING. Google Cloud está a trabalhar com a autoridade de certificação para emitir o certificado. O aprovisionamento de um certificado gerido pela Google pode demorar até 60 minutos.

Passo 4: atualize os registos A e AAAA de DNS para apontarem para o endereço IP do balanceador de carga

Os seus registos de DNS podem ser geridos no site da sua entidade de registo, anfitrião de DNS ou ISP.

Ao gerir os seus registos, tenha em atenção o seguinte:

• Certifique-se de que os registos A de DNS (para IPv4) e os registos AAAA de DNS (para IPv6) para os seus domínios e subdomínios apontam para o endereço IP associado à regra ou regras de encaminhamento do equilibrador de carga.

  Para aprovisionar certificados SSL, certifique-se de que os registos A e AAAA apontam para o endereço IP do balanceador de carga num DNS público.

• Se estiver a usar o Cloud DNS, configure os seus domínios e atualize os seus servidores de nomes.

• Se tiver vários domínios num certificado gerido pela Google, adicione ou atualize os registos DNS de todos os domínios e subdomínios para apontarem para o endereço IP do seu equilibrador de carga. A validação do certificado falha se os domínios e os subdomínios num certificado gerido pela Google apontarem para um IP diferente do endereço IP da regra de encaminhamento do balanceador de carga.

• Certifique-se de que o seu fornecedor de DNS responde de forma consistente a todos os pedidos de validação de domínio global.

Os certificados geridos são aprovisionados com êxito quando as seguintes condições são verdadeiras:

• Os registos DNS do seu domínio usam um registo CNAME que aponta para outro domínio.
• O outro domínio contém um registo A ou AAAA que aponta para o endereço IP do seu equilibrador de carga.

Pode validar a configuração executando o comando dig. Por exemplo, suponhamos que o seu domínio é www.example.com. Execute o seguinte comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

Neste exemplo, 34.95.64.10 é o endereço IP do seu equilibrador de carga.

Os resolvedores de DNS na Internet estão fora do controlo de Google Cloud. Armazenam em cache os seus conjuntos de registos de recursos de acordo com o respetivo tempo de vida (TTL), o que significa que um comando dig ou nslookup pode devolver um valor em cache. Se estiver a usar o Cloud DNS, consulte o artigo Propagação de alterações.

Tempo de propagação do registo de DNS

Os registos DNS A e AAAA atualizados recentemente podem demorar algum tempo a serem totalmente propagados. Por vezes, a propagação na Internet demora até 72 horas em todo o mundo, embora, normalmente, demore algumas horas.

Execute novamente o seguinte comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Se o estado do seu domínio for FAILED_NOT_VISIBLE, pode dever-se ao facto de a propagação não estar concluída.

Para informações detalhadas, consulte a secção Estado do domínio do certificado SSL gerido pela Google na página de resolução de problemas.

Validação de domínio com várias perspetivas

Google Cloud renova periodicamente os seus certificados geridos pela Google pedindo-os às autoridades de certificação (ACs). As ACs com as quais Google Cloud trabalha para renovar os seus certificados usam um método de validação de domínio de várias perspetivas conhecido como Multi-Perspective Issuance Corroboration (MPIC). Como parte deste processo, as autoridades de certificação validam o controlo do domínio verificando as definições de DNS do domínio e tentando contactar o servidor atrás do endereço IP do domínio. Estas validações são realizadas a partir de vários pontos de vista na Internet. Se o processo de validação falhar, os certificados geridos pela Google não são renovados. Consequentemente, o seu equilibrador de carga apresenta um certificado expirado aos clientes, o que faz com que os utilizadores do navegador encontrem erros de certificado e os clientes da API tenham falhas de ligação.

Para evitar falhas de validação de domínio com várias perspetivas devido a registos de DNS configurados incorretamente, tenha em atenção o seguinte:

• Os seus registos A de DNS (IPv4) e registos AAAA de DNS (IPv6) para os seus domínios e subdomínios apontam apenas para o endereço IP (ou endereços) associado à regra (ou regras) de encaminhamento do balanceador de carga. A existência de outros endereços no registo pode fazer com que a validação falhe.
• A AC, que realiza a validação de registos DNS, consulta registos DNS a partir de várias localizações. Certifique-se de que o seu fornecedor de DNS responde de forma consistente a todos os pedidos de validação de domínio global.
• A utilização de GeoDNS (devolver diferentes endereços IP com base na localização do pedido) ou políticas de DNS baseadas na localização pode originar respostas inconsistentes e fazer com que a validação falhe. Se o seu fornecedor de DNS usar o GeoDNS, desative-o ou certifique-se de que todas as regiões devolvem o endereço IP do balanceador de carga.
• Tem de especificar explicitamente os endereços IP do seu equilibrador de carga na configuração de DNS. As camadas intermédias, como uma RFC, podem causar um comportamento imprevisível. O endereço IP tem de estar diretamente acessível sem redirecionamentos, firewalls ou CDNs no caminho do pedido. Para saber mais, consulte a secção Equilibradores de carga atrás de uma RFC neste documento.
• Recomendamos que use um verificador de propagação global de DNS à sua escolha para verificar se todos os registos de DNS relevantes são resolvidos corretamente e de forma consistente em todo o mundo.

Valide as alterações de configuração

Depois de configurar os Registos de DNS, pode verificar se estão corretos criando um novo certificado e associando-o ao equilibrador de carga juntamente com o certificado existente. Este passo força uma verificação imediata do aprovisionamento de certificados junto da AC, o que lhe permite validar as alterações de configuração em poucos minutos. Sem esta opção, as renovações automáticas do certificado existente podem demorar dias ou semanas, o que gera incerteza acerca da sua configuração.

Se o estado do certificado se tornar ACTIVE, indica que o certificado foi emitido, confirmando assim que a sua configuração de DNS está correta. Neste ponto, recomendamos que remova o certificado anterior para evitar ter dois certificados separados para o mesmo domínio. Este processo não interrompe o tráfego para o equilibrador de carga.

O novo certificado serve como ferramenta de validação. A sua criação confirma que a validação de domínio com várias perspetivas através do MPIC funciona corretamente para a sua configuração.

Balanceadores de carga atrás de uma RFC

Para balanceadores de carga com a RFC ativada, alguns fornecedores de RFC de terceiros no caminho do pedido podem impedir que os pedidos de validação sejam bem-sucedidos. Isto pode acontecer se o fornecedor de RFC estiver a usar ativamente um proxy para o tráfego HTTP(S).

Nestes casos, recomendamos que migre os seus certificados para o Gestor de certificados e use o método de autorização de DNS para aprovisionar certificados geridos pela Google. A última abordagem não requer que a AC contacte o seu equilibrador de carga.

Passo 5: teste com o OpenSSL

Depois de os estados do certificado e do domínio ficarem ativos, o balanceador de carga pode demorar até 30 minutos a começar a usar o seu certificado SSL gerido pela Google.

Para testar, execute o seguinte comando OpenSSL, substituindo DOMAIN pelo nome DNS e IP_ADDRESS pelo endereço IP do equilibrador de carga.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Este comando produz os certificados que o equilibrador de carga apresenta ao cliente. Juntamente com outras informações detalhadas, o resultado deve incluir a cadeia de certificados e Verify return code: 0 (ok).

Procedimentos adicionais

Esta secção contém procedimentos adicionais para gerir os seus certificados.

Suporte vários domínios com um certificado SSL gerido pela Google

São suportados vários nomes alternativos de assunto. Cada certificado SSL gerido pela Google suporta até o número máximo de domínios por certificado SSL gerido pela Google.

Se tiver mais do que o número máximo de domínios, tem de pedir vários certificados geridos pela Google. Por exemplo, se tentar criar um certificado gerido pela Google com (o máximo + 1) domínios, a Google não emite certificados. Em alternativa, tem de criar dois ou mais certificados geridos pela Google e indicar explicitamente os domínios associados a cada certificado.

Google Cloud Implementa a Indicação do nome do servidor (SNI), conforme definido na RFC 6066.

Para ajudar a garantir que os seus certificados não falham o passo de validação do domínio do processo de renovação, reveja os requisitos para os registos A e AAAA do seu DNS.

Não pode modificar a lista de nomes de domínios num certificado SSL gerido pela Google existente. Se precisar de adicionar ou remover um domínio, tem de criar um novo certificado que inclua todos os domínios que quer proteger e, em seguida, usar o processo de substituição descrito neste documento.

Renove um certificado SSL gerido pela Google

Google Cloud Aprovisiona certificados geridos válidos durante 90 dias. Cerca de um mês antes da expiração, o processo de renovação do certificado começa automaticamente. Para tal, é escolhida uma autoridade de certificação (AC) que esteja no registo de DNS de autorização da autoridade de certificação (CAA) do seu domínio e na lista de ACs.

A CA usada para a renovação pode ser diferente da CA usada para emitir uma versão anterior do seu certificado gerido pela Google. Pode controlar a CA que Google Cloud usa para a renovação, garantindo que o registo DNS CAA do seu domínio especifica uma única CA na lista de CAs que os certificados geridos pela Google usam.

Para ajudar a garantir que os seus certificados não falham o passo de validação do domínio do processo de renovação, reveja os requisitos para os registos A e AAAA do seu DNS.

Especifique as CAs que podem emitir o seu certificado gerido pela Google

No seu software de DNS, recomendamos que autorize explicitamente as ACs que quer permitir que emitam o seu certificado gerido pela Google. Embora não seja obrigatório em todos os cenários, é necessário em determinadas situações.

Por exemplo, se estiver a usar um serviço de DNS externo e o seu certificado gerido pela Google for revogado, o serviço pode validar apenas um novo certificado emitido por uma ou mais ACs específicas.

Para tal, crie ou modifique um registo CAA para incluir pki.goog ou letsencrypt.org ou ambos. Se não tiver um registo CAA, o comportamento predefinido é permitir pki.goog e letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

O suporte para certificados letsencrypt.org é fornecido com base no melhor esforço. Para uma melhor fiabilidade, permita pki.goog e letsencrypt.org. Se especificar apenas uma das ACs, apenas essa AC é usada para criar e renovar o seu certificado. Não recomendamos esta abordagem.

Quando cria o certificado pela primeira vez,o Google Wallet Google Cloud selecionapki.goog ou letsencrypt.org e usa-o para emitir o certificado. Quando a Google renova o seu certificado, este pode ser emitido pela outra CA, dependendo das CAs que especificou no registo CAA (se tiver criado um). O seu certificado pode ser renovado por uma CA diferente em qualquer um dos seguintes casos:

• Não tem um registo CAA de DNS para o seu domínio.
• Incluiu ambas as ACs no registo CAA de DNS.

Para mais informações, consulte o RFC, registo DNS CAA.

letsencrypt.org emite nomes de domínio internacionalizados (IDNs). Atualmente, o pki.goog não suporta IDNs.

Se estiver a usar o Cloud DNS, saiba como adicionar um registo e certifique-se de que define a flag --type como CAA.

Substitua um certificado SSL existente

Para substituir um certificado SSL existente:

1. Inicie o processo de criação do certificado SSL gerido pela Google de substituição. Este certificado não fica ATIVO neste momento.

2. Atualize o proxy de destino para que a lista de certificados referenciados inclua o certificado SSL de substituição juntamente com os certificados SSL atuais. Os passos para atualizar o proxy de destino variam da seguinte forma:

   • Atualize um proxy HTTPS de destino
   • Atualize um proxy SSL de destino

3. Aguarde pela conclusão do aprovisionamento do certificado SSL de substituição. O aprovisionamento pode demorar até 60 minutos. Quando o aprovisionamento estiver concluído, o estado do certificado passa a ser ACTIVE.

4. Aguarde mais 30 minutos para garantir que o certificado de substituição está disponível para todos os front-ends da Google (GFEs).

5. Atualize o proxy de destino para remover o certificado SSL que está a substituir da lista de certificados referenciados. Os passos para atualizar um proxy de destino variam da seguinte forma:

   • Atualize um proxy HTTPS de destino
   • Atualize um proxy SSL de destino

6. Aguarde 10 minutos e confirme se o balanceador de carga está a usar o certificado SSL de substituição em vez do antigo.

7. Atualize novamente o proxy de destino, removendo o recurso do certificado SSL antigo. Pode eliminar o recurso de certificado SSL se já não for referenciado por nenhum proxy de destino.

Se não eliminar o certificado SSL antigo, este permanece ATIVO até expirar.

Migre de certificados SSL autogeridos para certificados SSL geridos pela Google

Quando migra um equilibrador de carga da utilização de certificados SSL autogeridos para certificados SSL geridos pela Google, tem de realizar os seguintes passos nesta sequência:

1. Crie um novo certificado gerido pela Google.
2. Associe o novo certificado gerido pela Google ao proxy de destino correto, mantendo a associação do proxy de destino ao certificado autogerido existente.
3. Aguarde até que o estado do certificado gerido pela Google seja ACTIVE.
4. Aguarde 30 minutos para permitir que o novo certificado seja propagado para os front-ends da Google (GFEs) de publicação
5. Atualize novamente o proxy de destino, removendo o recurso de certificado autogerido. Pode eliminar o recurso de certificado SSL autogerido se já não for referenciado por nenhum proxy de destino.

Elimine um certificado SSL

Antes de eliminar um certificado SSL, certifique-se de que nenhum proxy de destino HTTPS ou SSL faz referência a este certificado. Pode fazê-lo de duas formas:

• Elimine os proxies de destino que fazem referência a este certificado.

• Atualize os proxies de destino que referenciam este certificado para o excluir. Os passos variam da seguinte forma:

  • Atualize um proxy HTTPS de destino.
  • Atualize um proxy de destino SSL.

Para eliminar um ou mais certificados SSL:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

O que se segue?

• Para resolver problemas de certificados SSL, consulte o artigo Resolução de problemas de certificados SSL.
• Para usar um script Terraform que cria um certificado gerido pela Google, consulte o exemplo do Cloud Run na página Exemplos de módulos Terraform para o balanceador de carga de aplicações externo.