Utilizzare i certificati SSL gestiti da Google

Questa pagina descrive come creare e utilizzare i certificati SSL gestiti da Google di Compute Engine.

Per creare certificati gestiti da Google utilizzando Certificate Manager, consulta la panoramica dell'implementazione.

I certificati SSL gestiti da Google sono certificati di convalida del dominio (DV) che Google Cloud ottiene e gestisce per i tuoi domini. Supportano più nomi host in ogni certificato e Google rinnova automaticamente i certificati.

I certificati gestiti da Google sono supportati con i seguenti bilanciatori del carico:

• Bilanciatore del carico delle applicazioni esterno globale
• Bilanciatore del carico delle applicazioni classico
• Bilanciatore del carico di rete proxy esterno (con un proxy SSL di destinazione)

I certificati SSL gestiti da Google di Compute Engine non sono supportati per i bilanciatori del carico delle applicazioni esterni regionali, i bilanciatori del carico delle applicazioni interni regionali o i bilanciatori del carico delle applicazioni interni tra regioni. Per questi bilanciatori del carico, puoi utilizzare certificati SSL autogestiti di Compute Engine oppure valutare l'utilizzo di Certificate Manager.

Puoi anche utilizzare certificati SSL gestiti con Google Kubernetes Engine. Per ulteriori informazioni, vedi Utilizzo dei certificati SSL gestiti da Google.

Puoi creare un certificato gestito da Google prima, durante o dopo la creazione del bilanciatore del carico. Questa pagina presuppone che tu stia creando il certificato Compute Engine prima o dopo la creazione del bilanciatore del carico, non durante. Per creare il certificato durante la creazione del bilanciatore del carico, consulta le pagine delle procedure del bilanciatore del carico.

Prima di iniziare

• Assicurati di conoscere la panoramica dei certificati SSL.
• Assicurati di avere i nomi di dominio che vuoi utilizzare per il tuo certificato SSL gestito da Google. Se utilizzi Cloud Domains, leggi come registrare un dominio.

• Assicurati di aver abilitato l'API Compute Engine per il tuo progetto.

  Abilita l'API Compute Engine

Autorizzazioni

Per seguire questa guida, devi essere in grado di creare e modificare i certificati SSL nel tuo progetto. Puoi farlo se una delle seguenti condizioni è vera:

• Sei un proprietario o editor del progetto (roles/owner o roles/editor).
• Nel progetto hai sia il ruolo Amministratore sicurezza Compute (compute.securityAdmin) sia il ruolo Amministratore rete Compute (compute.networkAdmin).
• Hai un ruolo personalizzato per il progetto che include le autorizzazioni compute.sslCertificates.* e una o entrambe le autorizzazioni compute.targetHttpsProxies.* e compute.targetSslProxies.*, a seconda del tipo di bilanciatore del carico che utilizzi.

Passaggio 1: Crea un certificato SSL gestito da Google

Puoi creare un certificato gestito da Google prima, durante o dopo la creazione del bilanciatore del carico. Durante la creazione di un bilanciatore del carico nella consoleGoogle Cloud , puoi utilizzare la console Google Cloud per creare il certificato. In alternativa, puoi creare il certificato prima o dopo aver creato il bilanciatore del carico. Questo passaggio mostra come creare un certificato che puoi aggiungere in un secondo momento a uno o più bilanciatori del carico.

Se hai già creato il certificato SSL gestito da Google, puoi saltare questo passaggio.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.googleapis.com/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Controllare lo stato di un certificato SSL gestito da Google

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

A questo punto, lo stato del certificato e del dominio è PROVISIONING. Dopo aver completato i passaggi in questa pagina, gli stati cambiano in ACTIVE.

Per ulteriori informazioni sugli stati, consulta la pagina di risoluzione dei problemi.

Passaggio 2: crea o aggiorna il bilanciatore del carico

Per diventare ACTIVE, il certificato SSL gestito da Google deve essere associato a un bilanciatore del carico, in particolare al proxy di destinazione del bilanciatore del carico.

Dopo aver creato il certificato SSL e quando si trova nello stato PROVISIONING, puoi utilizzarlo durante la creazione del bilanciatore del carico, come descritto nelle seguenti guide pratiche:

• Configura un bilanciatore del carico delle applicazioni esterno globale con un backend Compute Engine
• Configura un bilanciatore del carico delle applicazioni classico con un backend Compute Engine
• Configura un bilanciatore del carico di rete proxy esterno con un proxy SSL

In alternativa, puoi utilizzarlo per aggiornare un bilanciatore del carico esistente, come descritto qui:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Ogni proxy HTTPS di destinazione o proxy SSL di destinazione deve fare riferimento ad almeno un certificato SSL. Un proxy di destinazione può fare riferimento a più di un certificato SSL. Per ulteriori dettagli, consulta Pool di destinazione e proxy di destinazione in Quote e limiti delle risorse di bilanciamento del carico.

Passaggio 3: verifica l'associazione del proxy di destinazione

Dopo aver creato o aggiornato il bilanciatore del carico, puoi assicurarti che il certificato SSL sia associato al proxy di destinazione del bilanciatore del carico.

Se non conosci già il nome del proxy di destinazione, utilizza i comandi gcloud compute target-https-proxies list e gcloud compute target-ssl-proxies list per elencare i proxy di destinazione nel tuo progetto.

Verifica l'associazione tra il certificato SSL e il proxy di destinazione eseguendo il seguente comando.

Per i bilanciatori del carico delle applicazioni esterni globali:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Per i bilanciatori del carico di rete proxy esterni:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

A questo punto, lo stato del certificato gestito da Google potrebbe essere ancora PROVISIONING. Google Cloud sta collaborando con l'autorità di certificazione per emettere il certificato. Il provisioning di un certificato gestito da Google potrebbe richiedere fino a 60 minuti.

Passaggio 4: aggiorna i record A e AAAA del DNS in modo che puntino all'indirizzo IP del bilanciatore del carico

I tuoi record DNS potrebbero essere gestiti sul sito del registrar, dell'host DNS o dell'ISP.

Durante la gestione dei record, tieni presente quanto segue:

• Assicurati che i record A DNS (per IPv4) e i record AAAA DNS (per IPv6) per i tuoi domini e sottodomini puntino all'indirizzo IP associato alla regola o alle regole di forwarding del bilanciatore del carico.

  Per eseguire il provisioning dei certificati SSL, assicurati che i record A e AAAA puntino all'indirizzo IP del bilanciatore del carico in un DNS pubblico.

• Se utilizzi Cloud DNS, configura i tuoi domini e aggiorna i server dei nomi.

• Se hai più domini in un certificato gestito da Google, aggiungi o aggiorna i record DNS per tutti i domini e i sottodomini in modo che puntino all'indirizzo IP del bilanciamento del carico. La convalida del certificato non va a buon fine se i domini e i sottodomini di un certificato gestito da Google rimandano a un IP diverso da quello della regola di forwarding del bilanciatore del carico.

• Assicurati che il tuo provider DNS risponda in modo coerente a tutte le richieste di convalida del dominio globale.

Il provisioning dei certificati gestiti viene eseguito correttamente quando si verificano le seguenti condizioni:

• I record DNS del tuo dominio utilizzano un record CNAME che punta a un altro dominio.
• L'altro dominio contiene un record A o AAAA che punta all'indirizzo IP del bilanciatore del carico.

Puoi verificare la configurazione eseguendo il comando dig. Ad esempio, supponiamo che il tuo dominio sia www.example.com. Esegui questo comando dig:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

In questo esempio, 34.95.64.10 è l'indirizzo IP del bilanciatore del carico.

I resolver DNS su internet non sono controllati da Google Cloud. Memorizzano nella cache i set di record di risorse in base alla durata (TTL), il che significa che un comando dig o nslookup potrebbe restituire un valore memorizzato nella cache. Se utilizzi Cloud DNS, consulta Propagazione delle modifiche.

Tempo di propagazione del record DNS

La propagazione completa dei record A e AAAA DNS appena aggiornati può richiedere molto tempo. A volte la propagazione su internet richiede fino a 72 ore in tutto il mondo, anche se in genere bastano poche ore.

Esegui di nuovo questo comando:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Se lo stato del tuo dominio è FAILED_NOT_VISIBLE, il motivo potrebbe essere che la propagazione non è completa.

Per informazioni dettagliate, consulta la sezione Stato del dominio del certificato SSL gestito da Google nella pagina Risoluzione dei problemi.

Convalida del dominio da più punti di vista

Google Cloud rinnova periodicamente i certificati gestiti da Google richiedendoli alle autorità di certificazione (CA). Le CA con cui Google Cloud collabora per rinnovare i certificati utilizzano un metodo di convalida del dominio multi-prospettiva noto come Multi-Perspective Issuance Corroboration (MPIC). Nell'ambito di questa procedura, le autorità di certificazione verificano il controllo del dominio controllando le impostazioni DNS del dominio e tentando di contattare il server dietro l'indirizzo IP del dominio. Queste verifiche vengono eseguite da più punti di vista su internet. Se il processo di convalida non riesce, i certificati gestiti da Google non vengono rinnovati. Di conseguenza, il bilanciatore del carico fornisce un certificato scaduto ai client, causando errori di certificato per gli utenti del browser e errori di connessione per i client API.

Per evitare errori di convalida del dominio da più prospettive per record DNS configurati in modo errato, tieni presente quanto segue:

• I record A DNS (IPv4) e AAAA DNS (IPv6) per i tuoi domini e qualsiasi sottodominio puntano solo all'indirizzo IP (o agli indirizzi) associato alla regola (o alle regole) di regola di forwarding del bilanciatore del carico. L'esistenza di altri indirizzi nel record può causare un errore di convalida.
• L'autorità di certificazione, che esegue la convalida dei record DNS, esegue query sui record DNS da più località. Assicurati che il tuo provider DNS risponda in modo coerente a tutte le richieste di convalida del dominio globale.
• L'utilizzo di GeoDNS (che restituisce indirizzi IP diversi in base alla posizione della richiesta) o di criteri DNS basati sulla posizione può portare a risposte incoerenti e causare un errore di convalida. Se il tuo provider DNS utilizza GeoDNS, disattivalo o assicurati che tutte le regioni restituiscano lo stesso indirizzo IP del bilanciatore del carico.
• Devi specificare esplicitamente gli indirizzi IP del bilanciatore del carico nella configurazione DNS. I livelli intermedi, come una CDN, possono causare un comportamento imprevedibile. L'indirizzo IP deve essere accessibile direttamente senza reindirizzamenti, firewall o CDN nel percorso della richiesta. Per saperne di più, consulta la sezione Bilanciatori del carico dietro una CDN di questo documento.
• Ti consigliamo di utilizzare uno strumento di controllo della propagazione DNS globale a tua scelta per verificare che tutti i record DNS pertinenti vengano risolti in modo corretto e coerente in tutto il mondo.

Verificare le modifiche alla configurazione

Dopo aver configurato i record DNS, puoi verificare che siano corretti creando un nuovo certificato e collegandolo al bilanciatore del carico insieme al certificato esistente. Questo passaggio forza un controllo immediato del provisioning dei certificati con l'autorità di certificazione, consentendoti di verificare le modifiche alla configurazione in pochi minuti. Senza questa operazione, i rinnovi automatici del certificato esistente possono richiedere giorni o settimane, lasciando incertezza sulla configurazione.

Se lo stato del certificato diventa ACTIVE, significa che il certificato è stato emesso, confermando così che la configurazione DNS è corretta. A questo punto, ti consigliamo di rimuovere il certificato precedente per evitare di avere due certificati separati per lo stesso dominio. Questo processo non interrompe il traffico verso il bilanciatore del carico.

Il nuovo certificato funge da strumento di convalida: la sua creazione conferma che la convalida del dominio multiprospettiva tramite MPIC funziona correttamente per la tua configurazione.

Bilanciatori del carico dietro una CDN

Per i bilanciatori del carico in cui è abilitata la CDN, alcuni provider CDN di terze parti nel percorso della richiesta potrebbero impedire la riuscita delle richieste di convalida. Ciò può accadere se il provider CDN esegue il proxy del traffico HTTP(S).

In questi casi, ti consigliamo di migrare i certificati a Certificate Manager e di utilizzare il metodo di autorizzazione DNS per eseguire il provisioning dei certificati gestiti da Google. Quest'ultimo approccio non richiede all'autorità di certificazione di contattare il bilanciatore del carico.

Passaggio 5: esegui il test con OpenSSL

Una volta che gli stati del certificato e del dominio sono attivi, possono essere necessari fino a 30 minuti prima che il bilanciatore del carico inizi a utilizzare il certificato SSL gestito da Google.

Per eseguire il test, esegui il seguente comando OpenSSL, sostituendo DOMAIN con il tuo nome DNS e IP_ADDRESS con l'indirizzo IP del tuo bilanciatore del carico.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Questo comando restituisce i certificati che il bilanciatore del carico presenta al client. Oltre ad altre informazioni dettagliate, l'output deve includere la catena di certificati e Verify return code: 0 (ok).

Altre procedure

Questa sezione contiene procedure aggiuntive per la gestione dei certificati.

Supportare più domini con un certificato SSL gestito da Google

Sono supportati più nomi alternativi del soggetto. Ogni certificato SSL gestito da Google supporta fino a il numero massimo di domini per certificato SSL gestito da Google.

Se hai più del numero massimo di domini, devi richiedere più certificati gestiti da Google. Ad esempio, se tenti di creare un certificato gestito da Google con (il massimo + 1) domini, Google non emette alcun certificato. Devi invece creare due o più certificati gestiti da Google e indicare esplicitamente quali domini sono associati a ciascun certificato.

Google Cloud implementa l'indicazione nome server (SNI), come definito nella RFC 6066.

Per assicurarti che i tuoi certificati non superino il passaggio di convalida del dominio della procedura di rinnovo, consulta i requisiti per i record A e AAAA del DNS.

Rinnova un certificato SSL gestito da Google

Google Cloud esegue il provisioning di certificati gestiti validi per 90 giorni. Circa un mese prima della scadenza, inizia automaticamente la procedura di rinnovo del certificato. A questo scopo, viene scelta un'autorità di certificazione (CA) presente sia nel record DNS CAA (Certification Authority Authorization) del tuo dominio sia nell'elenco delle CA.

La CA utilizzata per il rinnovo potrebbe essere diversa da quella utilizzata per emettere una versione precedente del certificato gestito da Google. Puoi controllare la CA che Google Cloud utilizza per il rinnovo assicurandoti che il record DNS CAA del tuo dominio specifichi una singola CA dall'elenco delle CA utilizzate dai certificati gestiti da Google.

Per assicurarti che i tuoi certificati non superino il passaggio di convalida del dominio della procedura di rinnovo, consulta i requisiti per i record A e AAAA del DNS.

Specifica le CA che possono emettere il certificato gestito da Google

Nel software DNS, ti consigliamo di autorizzare esplicitamente le CA che vuoi consentire di emettere il certificato gestito da Google. Sebbene non sia obbligatorio in tutti gli scenari, è necessario in determinate situazioni.

Ad esempio, se utilizzi un servizio DNS esterno e il tuo certificato gestito da Google viene revocato, il servizio potrebbe convalidare solo un nuovo certificato emesso da una o più CA specifiche.

A tale scopo, crea o modifica un record CAA in modo che includa pki.goog o letsencrypt.org o entrambi. Se non hai un record CAA, il comportamento predefinito è consentire sia pki.goog che letsencrypt.org.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

Il supporto per i certificati letsencrypt.org viene fornito al meglio delle possibilità. Per una maggiore affidabilità, consenti sia pki.goog che letsencrypt.org. Se specifichi una sola CA, solo questa viene utilizzata per creare e rinnovare il certificato. Questo approccio non è consigliato.

Quando crei il certificato per la prima volta, Google Cloud seleziona pki.goog o letsencrypt.org e lo utilizza per emettere il certificato. Quando Google rinnova il tuo certificato, questo potrebbe essere emesso dall'altra CA, a seconda delle CA che hai specificato nel record CAA (se ne hai creato uno). Il tuo certificato potrebbe essere rinnovato da una CA diversa in uno dei seguenti casi:

• Non hai un record DNS CAA per il tuo dominio.
• Hai incluso entrambe le CA nel record DNS CAA.

Per ulteriori informazioni, consulta la RFC CAA DNS record.

letsencrypt.org relativi ai nomi di dominio internazionalizzati (IDN). pki.goog al momento non supporta i nomi di dominio internazionali.

Se utilizzi Cloud DNS, scopri come aggiungere un record e assicurati di impostare il flag --type su CAA.

Sostituisci un certificato SSL esistente

Per sostituire un certificato SSL esistente:

1. Avvia la procedura per creare il certificato SSL gestito da Google sostitutivo. Questo certificato non diventa ATTIVO a questo punto.

2. Aggiorna il proxy di destinazione in modo che l'elenco dei certificati a cui viene fatto riferimento includa il certificato SSL sostitutivo insieme ai certificati SSL attuali. I passaggi per aggiornare il proxy di destinazione variano come segue:

   • Aggiorna un proxy HTTPS di destinazione
   • Aggiorna un proxy SSL di destinazione

3. Attendi il completamento del provisioning del certificato SSL sostitutivo. Il provisioning potrebbe richiedere fino a 60 minuti. Al termine del provisioning, lo stato del certificato diventa ACTIVE.

4. Attendi altri 30 minuti per assicurarti che il certificato sostitutivo sia disponibile per tutti i Google Front End (GFE).

5. Aggiorna il proxy di destinazione per rimuovere il certificato SSL che stai sostituendo dall'elenco dei certificati a cui viene fatto riferimento. I passaggi per aggiornare un proxy di destinazione variano come segue:

   • Aggiorna un proxy HTTPS di destinazione
   • Aggiorna un proxy SSL di destinazione

6. Attendi 10 minuti e verifica che il bilanciatore del carico utilizzi il certificato SSL sostitutivo anziché quello precedente.

7. Aggiorna di nuovo il proxy di destinazione, rimuovendo la vecchia risorsa del certificato SSL. Puoi eliminare la risorsa certificato SSL se non viene più a cui fa riferimento alcun proxy di destinazione.

Se non elimini il vecchio certificato SSL, questo rimane ATTIVO fino alla scadenza.

Eseguire la migrazione dai certificati SSL autogestiti a quelli gestiti da Google

Quando esegui la migrazione di un bilanciatore del carico dall'utilizzo di certificati SSL autogestiti a certificati SSL gestiti da Google, devi eseguire i seguenti passaggi in questa sequenza:

1. Crea un nuovo certificato gestito da Google.
2. Associa il nuovo certificato gestito da Google al proxy di destinazione corretto mantenendo l'associazione del proxy di destinazione al certificato autogestito esistente.
3. Attendi finché lo stato del certificato gestito da Google non è ACTIVE.
4. Attendi 30 minuti per consentire la propagazione del nuovo certificato ai front-end di Google (GFE)
5. Aggiorna di nuovo il proxy di destinazione, rimuovendo la risorsa del certificato autogestito. Puoi eliminare la risorsa del certificato SSL autogestito se non viene più referenziata da alcun proxy di destinazione.

Elimina un certificato SSL

Prima di eliminare un certificato SSL, assicurati che nessun proxy SSL o HTTPS di destinazione faccia riferimento a questo certificato. Puoi farlo in due modi:

• Elimina i proxy di destinazione che fanno riferimento a questo certificato.

• Aggiorna i proxy di destinazione che fanno riferimento a questo certificato per escluderlo. I passaggi variano come segue:

  • Aggiorna un proxy HTTPS di destinazione.
  • Aggiorna un proxy di destinazione SSL.

Per eliminare uno o più certificati SSL:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Passaggi successivi

• Per risolvere i problemi relativi ai certificati SSL, consulta Risoluzione dei problemi relativi ai certificati SSL.
• Per utilizzare uno script Terraform che crea un certificato gestito da Google, consulta l'esempio di Cloud Run nella pagina Esempi di moduli Terraform per il bilanciatore del carico delle applicazioni esterno.