Von Google verwaltete SSL-Zertifikate verwenden

Auf dieser Seite wird erläutert, wie Sie von Google verwaltete SSL-Zertifikate für Compute Engine erstellen und verwenden.

Informationen zum Erstellen von von Google verwalteten Zertifikaten mit Certificate Manager finden Sie in der Bereitstellungsübersicht.

Von Google verwaltete SSL-Zertifikate sind DV-Zertifikate, die vonTrusted Cloud by S3NS für Ihre Domains abgerufen und verwaltet werden. Sie unterstützen mehrere Hostnamen in jedem Zertifikat und Google verlängert die Zertifikate automatisch.

Selbstverwaltete Zertifikate werden von den folgenden Load-Balancern unterstützt:

• Globaler externer Anwendungs-Load-Balancer
• Klassischer Application Load Balancer
• Externer Proxy-Network-Load-Balancer (mit einem Ziel-SSL-Proxy)

Von Google verwaltete Compute Engine-SSL-Zertifikate werden für regionale externe Application Load Balancer, regionale interne Application Load Balancer oder regionenübergreifende interne Application Load Balancer nicht unterstützt. Für diese Load Balancer können Sie entweder selbstverwaltete Compute Engine-SSL-Zertifikate oder stattdessen den Zertifikatmanager verwenden.

Sie können verwaltete SSL-Zertifikate auch mit Google Kubernetes Engine verwenden. Weitere Informationen finden Sie unter Von Google verwaltete SSL-Zertifikate verwenden.

Sie können ein von Google verwaltetes Zertifikat vor, während oder nach der Erstellung des Load-Balancers erstellen. Auf dieser Seite wird davon ausgegangen, dass Sie das Compute Engine-Zertifikat vor oder nach der Erstellung des Load-Balancers erstellen, nicht währenddessen. Informationen zum Erstellen des Zertifikats während der Erstellung des Load-Balancers finden Sie auf den Anleitungsseiten des Load-Balancers.

Hinweise

• Sie sollten mit den Inhalten in der Übersicht über SSL-Zertifikate vertraut sein.
• Achten Sie darauf, dass Sie die Domainnamen haben, die Sie für Ihr von Google verwaltetes SSL-Zertifikat verwenden möchten. Wenn Sie Cloud Domains verwenden, lesen Sie den Abschnitt Domain registrieren.

• Achten Sie darauf, dass die Compute Engine API für Ihr Projekt aktiviert ist.

  Compute Engine-API aktivieren

Berechtigungen

Damit Sie dieser Anleitung folgen können, müssen Sie in Ihrem Projekt SSL-Zertifikate erstellen und ändern können. Dies ist möglich, wenn eine der folgenden Aussagen zutrifft:

• Sie sind Projektinhaber oder Projektbearbeiter (roles/owner oder roles/editor).
• Sie haben im Projekt sowohl die Rolle „Compute-Sicherheitsadministrator“ (compute.securityAdmin) als auch die Rolle „Compute-Netzwerkadministrator“ (compute.networkAdmin).
• Sie haben eine benutzerdefinierte Rolle für das Projekt, die einerseits die Berechtigungen compute.sslCertificates.* und andererseits, je nach verwendetem Load-Balancer-Typ, eine der oder die beiden Berechtigungen compute.targetHttpsProxies.* und compute.targetSslProxies.* enthält.

Schritt 1: Von Google verwaltetes SSL-Zertifikat erstellen

Sie können ein von Google verwaltetes Zertifikat vor, während oder nach der Erstellung des Load-Balancers erstellen. Beim Erstellen eines Load-Balancers in derTrusted Cloud Console können Sie die Trusted Cloud Console für die Erstellung des Zertifikats verwenden. Alternativ können Sie das Zertifikat vor oder nach dem Erstellen des Load-Balancers erstellen. In diesem Schritt erfahren Sie, wie Sie ein Zertifikat erstellen, das Sie später einem oder mehreren Load-Balancern hinzufügen können.

Wenn Sie Ihr von Google verwaltetes SSL-Zertifikat bereits erstellt haben, können Sie diesen Schritt überspringen.

gcloud compute ssl-certificates create CERTIFICATE_NAME \
    --description=DESCRIPTION \
    --domains=DOMAIN_LIST \
    --global

resource "google_compute_managed_ssl_certificate" "lb_default" {
  provider = google-beta
  name     = "myservice-ssl-cert"

  managed {
    domains = ["example.com"]
  }
}

POST https://compute.s3nsapis.fr/compute/v1/projects/<var>PROJECT_ID</var>/global/sslCertificates
{
  "name": "ssl-certificate-name",
  "managed": {
    "domains": [
      "www.example.com"
    ]
  },
  "type": "MANAGED"
}

Status eines von Google verwalteten SSL-Zertifikats prüfen

gcloud compute ssl-certificates list \
   --global

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
   --global \
   --format="get(name,managed.status, managed.domainStatus)"

Zu diesem Zeitpunkt sind der Zertifikatstatus und der Domainstatus PROVISIONING. Wenn Sie die Schritte auf dieser Seite ausgeführt haben, ändern sich die Status zu ACTIVE.

Weitere Informationen zum Status finden Sie auf der Seite zur Fehlerbehebung.

Schritt 2: Load-Balancer erstellen oder aktualisieren

Um ACTIVE zu werden, muss das von Google verwaltete SSL-Zertifikat einem Load-Balancer zugeordnet sein, und zwar dem Zielproxy des Load-Balancers.

Nachdem Sie das SSL-Zertifikat erstellt haben und es den Status PROVISIONING hat, können Sie es während der Erstellung des Load-Balancers verwenden, wie in den folgenden Anleitungen beschrieben:

• Globalen externen Anwendungs-Load-Balancer mit einem Compute Engine-Backend einrichten
• Klassischen Anwendungs-Load-Balancer mit einem Compute Engine-Backend einrichten
• Externen Proxy-Netzwerk-Load-Balancer mit einem SSL-Proxy einrichten

Sie können auch einen vorhandenen Load-Balancer aktualisieren, wie hier beschrieben:

gcloud compute target-https-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST \
    --global-ssl-certificates \
    --global

gcloud compute target-ssl-proxies update TARGET_PROXY_NAME \
    --ssl-certificates SSL_CERTIFICATE_LIST

resource "google_compute_target_https_proxy" "lb_default" {
  provider = google-beta
  name     = "myservice-https-proxy"
  url_map  = google_compute_url_map.lb_default.id
  ssl_certificates = [
    google_compute_managed_ssl_certificate.lb_default.name
  ]
  depends_on = [
    google_compute_managed_ssl_certificate.lb_default
  ]
}

Jeder HTTPS-Zielproxy oder SSL-Zielproxy muss auf mindestens ein SSL-Zertifikat verweisen. Ein Zielproxy kann auf mehr als ein SSL-Zertifikat verweisen. Weitere Informationen finden Sie unter Zielpools und Zielproxys in den Kontingenten und Limits für Load-Balancing-Ressourcen.

Schritt 3: Zielproxy-Verknüpfung prüfen

Nachdem Sie Ihren Load-Balancer erstellt oder aktualisiert haben, können Sie dafür sorgen, dass das SSL-Zertifikat dem Zielproxy des Load-Balancers zugeordnet ist.

Wenn Sie den Namen des Zielproxys nicht kennen, verwenden Sie gcloud compute target-https-proxies list und gcloud compute target-ssl-proxies list-Befehle zum Auflisten der Zielproxys in Ihrem Projekt.

Prüfen Sie die Verbindung zwischen dem SSL-Zertifikat und dem Zielproxy. Dazu führen Sie folgenden Befehl aus.

Für globale externe Anwendungs-Load-Balancer:

gcloud compute target-https-proxies describe TARGET_HTTPS_PROXY_NAME \
    --global \
    --format="get(sslCertificates)"

Für externe Proxy-Network Load Balancer:

gcloud compute target-ssl-proxies describe TARGET_SSL_PROXY_NAME \
    --format="get(sslCertificates)"

Zu diesem Zeitpunkt lautet der Status Ihres von Google verwalteten Zertifikats möglicherweise noch PROVISIONING. Trusted Cloud arbeitet mit der Zertifizierungsstelle zusammen, um das Zertifikat auszustellen. Die Bereitstellung eines von Google verwalteten Zertifikats kann bis zu 60 Minuten dauern.

Schritt 4: DNS-A- und AAAA-Einträge aktualisieren, sodass sie auf die IP-Adresse des Load-Balancers verweisen

Ihre DNS-Einträge können auf der Website Ihres Registrators, DNS-Hosts oder ISPs verwaltet werden.

Beachten Sie bei der Verwaltung Ihrer Einträge Folgendes:

• Achten Sie darauf, dass DNS-A-Einträge (für IPv4) und DNS-AAAA-Einträge (für IPv6) für Ihre Domains und Subdomains auf die IP-Adresse verweisen, die der Weiterleitungsregel oder den Weiterleitungsregeln des Load-Balancers zugeordnet sind.

  Damit SSL-Zertifikate bereitgestellt werden können, müssen A- und AAAA-Einträge in einem öffentlichen DNS auf die IP-Adresse des Load-Balancers verweisen.

• Wenn Sie Cloud DNS verwenden, richten Sie Ihre Domains ein und aktualisieren Sie Ihre Nameserver.

• Wenn Sie mehrere Domains in einem von Google verwalteten Zertifikat haben, fügen Sie DNS-Einträge für alle Domains und Subdomains hinzu oder aktualisieren Sie sie, sodass sie auf die IP-Adresse Ihres Load-Balancers verweisen. Die Zertifikatsprüfung schlägt fehl, wenn die Domains und Subdomains in einem von Google verwalteten Zertifikat auf eine andere IP-Adresse als die IP-Adresse der Weiterleitungsregel des Load-Balancers verweisen.

• Achten Sie darauf, dass Ihr DNS-Anbieter einheitlich auf alle globalen Anfragen zur Domainbestätigung reagiert.

Verwaltete Zertifikate lassen sich erfolgreich bereitstellen, wenn Folgendes zutrifft:

• Die DNS-Einträge Ihrer Domain verwenden einen CNAME-Eintrag, der auf eine andere Domain verweist.
• Die andere Domain enthält einen A- oder AAAA-Eintrag, der auf die IP-Adresse Ihres Load-Balancers verweist.

Sie können Ihre Einrichtung mit dem Befehl dig prüfen. Angenommen, Ihre Domain ist www.example.com. Führen Sie dazu diesen dig-Befehl aus:

dig www.example.com

; <<>> DiG 9.10.6 <<>> www.example.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31748
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.example.com.           IN  A

;; ANSWER SECTION:
www.example.com. 1742    IN      CNAME   example.net.
example.net.      12     IN      A       34.95.64.10

;; Query time: 43 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Jun 03 16:54:44 PDT 2020
;; MSG SIZE  rcvd: 193

In diesem Beispiel ist 34.95.64.10 die IP-Adresse Ihres Load-Balancers.

DNS-Resolver im Internet unterliegen nicht der Kontrolle vonTrusted Cloud. Sie speichern Ihre Ressourceneinträge entsprechend ihrer Gültigkeitsdauer (TTL) im Cache. Dies bedeutet, dass ein dig- oder nslookup-Befehl möglicherweise einen im Cache gespeicherten Wert zurückgibt. Wenn Sie Cloud DNS verwenden, finden Sie weitere Informationen unter Weitergabe von Änderungen.

Übernahmezeit für DNS-Einträge

Neu aktualisierte DNS-A- und AAAA-Einträge können sehr lange dauern, bis sie vollständig weitergegeben werden. Manchmal dauert die Übertragung im Internet bis zu 72 Stunden, obwohl es normalerweise nur ein paar Stunden dauert.

Führen Sie den folgenden Befehl noch einmal aus:

gcloud compute ssl-certificates describe CERTIFICATE_NAME \
    --format="get(managed.domainStatus)"

Wenn der Domainstatus FAILED_NOT_VISIBLE lautet, ist die Weitergabe möglicherweise nicht abgeschlossen.

Ausführliche Informationen finden Sie im Abschnitt zum Status der von Google verwalteten SSL-Zertifikatsdomain auf der Seite zur Fehlerbehebung.

Domainvalidierung aus mehreren Perspektiven

Trusted Cloud by S3NS verlängert Ihre von Google verwalteten Zertifikate regelmäßig, indem sie sie bei Zertifizierungsstellen (Certificate Authorities, CAs) anfordert. Die Zertifizierungsstellen, mit denenTrusted Cloud by S3NS zusammenarbeitet, um Ihre Zertifikate zu verlängern, verwenden eine Multi-Perspective-Domainvalidierungsmethode namens Multi-Perspective Issuance Corroboration (MPIC). Im Rahmen dieses Prozesses überprüfen die Zertifizierungsstellen die Domainkontrolle, indem sie die DNS-Einstellungen der Domain prüfen und versuchen, den Server hinter der IP-Adresse der Domain zu kontaktieren. Diese Prüfungen werden von mehreren Standorten im Internet aus durchgeführt. Wenn die Validierung fehlschlägt, können von Google verwaltete Zertifikate nicht verlängert werden. Infolgedessen stellt Ihr Load-Balancer Clients ein abgelaufenes Zertifikat bereit, was dazu führt, dass Browsernutzer Zertifikatsfehler und API-Clients Verbindungsfehler erhalten.

Um Fehler bei der Domainvalidierung aus mehreren Perspektiven aufgrund falsch konfigurierter DNS-Einträge zu vermeiden, beachten Sie Folgendes:

• Ihre DNS-A-Einträge (IPv4) und DNS-AAAA-Einträge (IPv6) für Ihre Domains und Subdomains verweisen nur auf die IP-Adresse (n), die der Weiterleitungsregel (n) des Load-Balancers zugeordnet sind. Das Vorhandensein anderer Adressen im Datensatz kann dazu führen, dass die Validierung fehlschlägt.
• Die Zertifizierungsstelle, die die Validierung von DNS-Einträgen durchführt, fragt DNS-Einträge von mehreren Standorten ab. Achten Sie darauf, dass Ihr DNS-Anbieter einheitlich auf alle globalen Anfragen zur Domainbestätigung reagiert.
• Die Verwendung von GeoDNS (Rückgabe unterschiedlicher IP-Adressen basierend auf dem Standort der Anfrage) oder standortbezogenen DNS-Richtlinien kann zu inkonsistenten Antworten führen und dazu, dass die Validierung fehlschlägt. Wenn Ihr DNS-Anbieter GeoDNS verwendet, deaktivieren Sie es oder sorgen Sie dafür, dass in allen Regionen dieselbe IP-Adresse des Load-Balancers zurückgegeben wird.
• Sie müssen die IP-Adressen Ihres Load-Balancers explizit in Ihrer DNS-Konfiguration angeben. Zwischenschichten wie ein CDN können zu unvorhersehbarem Verhalten führen. Die IP-Adresse muss direkt zugänglich sein. Es dürfen keine Weiterleitungen, Firewalls oder CDNs im Anfragepfad vorhanden sein. Weitere Informationen finden Sie in diesem Dokument im Abschnitt Load-Balancer hinter einem CDN.
• Wir empfehlen, mit einem DNS-Checker Ihrer Wahl zu prüfen, ob alle relevanten DNS-Einträge weltweit korrekt und konsistent aufgelöst werden.

Konfigurationsänderungen überprüfen

Nachdem Sie Ihre DNS-Einträge konfiguriert haben, können Sie überprüfen, ob sie korrekt sind, indem Sie ein neues Zertifikat erstellen und es zusammen mit dem vorhandenen Zertifikat mit Ihrem Load-Balancer verbinden. In diesem Schritt wird eine sofortige Überprüfung der Zertifikatsbereitstellung bei der Zertifizierungsstelle erzwungen. So können Sie Ihre Konfigurationsänderungen innerhalb weniger Minuten überprüfen. Andernfalls kann die automatische Verlängerung des vorhandenen Zertifikats Tage oder Wochen dauern, was zu Unsicherheit bezüglich Ihrer Einrichtung führt.

Wenn der Zertifikatsstatus ACTIVE lautet, wurde das Zertifikat ausgestellt. Das bedeutet, dass Ihre DNS-Konfiguration korrekt ist. Wir empfehlen, das frühere Zertifikat zu entfernen, damit nicht zwei separate Zertifikate für dieselbe Domain vorhanden sind. Dieser Vorgang unterbricht den Traffic zu Ihrem Load-Balancer nicht.

Das neue Zertifikat dient als Validierungstool. Seine Erstellung bestätigt, dass die Multi-Perspective Identity Confirmation (MPIC) für Ihre Einrichtung korrekt funktioniert.

Load Balancer hinter einem CDN

Bei Load-Balancern, für die CDN aktiviert ist, verhindern einige CDN-Provider von Drittanbietern im Anfragepfad möglicherweise, dass Validierungsanfragen erfolgreich ausgeführt werden. Das kann auftreten, wenn der CDN-Provider HTTP(S)-Traffic aktiv weiterleitet.

In solchen Fällen empfehlen wir, Ihre Zertifikate zu Certificate Manager zu migrieren und die DNS-Autorisierung zu verwenden, um von Google verwaltete Zertifikate bereitzustellen. Bei diesem Ansatz muss die Zertifizierungsstelle Ihren Load Balancer nicht kontaktieren.

Schritt 5: Mit OpenSSL testen

Nachdem der Zertifikat- und Domainstatus aktiv ist, kann es bis zu 30 Minuten dauern, bis der Load-Balancer beginnt, Ihr von Google verwaltetes SSL-Zertifikat zu verwenden.

Führen Sie zum Testen den folgenden OpenSSL-Befehl aus. Ersetzen Sie dabei DOMAIN durch Ihren DNS-Namen und IP_ADDRESS durch die IP-Adresse Ihres Load-Balancers.

echo | openssl s_client -showcerts -servername DOMAIN -connect IP_ADDRESS:443 -verify 99 -verify_return_error

Dieser Befehl gibt die Zertifikate aus, die der Load-Balancer dem Client anbietet. Neben anderen detaillierten Informationen sollte die Ausgabe die Zertifikatskette und Verify return code: 0 (ok) enthalten.

Zusätzliche Verfahren

Dieser Abschnitt enthält zusätzliche Verfahren zum Verwalten Ihrer Zertifikate.

Mehrere Domains mit einem von Google verwalteten SSL-Zertifikat unterstützen

Es werden mehrere alternative Antragstellernamen unterstützt. Jedes von Google verwaltete SSL-Zertifikat unterstützt bis zu der maximalen Anzahl an Domains pro von Google verwaltetem SSL-Zertifikat.

Wenn Sie mehr als die maximale Anzahl an Domains haben, müssen Sie mehrere von Google verwaltete Zertifikate anfragen. Wenn Sie beispielsweise versuchen, ein von Google verwaltetes Zertifikat mit (das Maximum + 1) Domains zu erstellen, stellt Google keine Zertifikate aus. Stattdessen müssen Sie zwei oder mehr von Google verwaltete Zertifikate erstellen und explizit angeben, welche Domains mit den einzelnen Zertifikaten verknüpft sind.

Trusted Cloud implementiert Server Name Indication (SNI) wie in RFC 6066 definiert.

Damit Ihre Zertifikate den Schritt der Domainvalidierung im Verlängerungsprozess nicht fehlschlagen, sollten Sie die Anforderungen an Ihre DNS-A- und AAAA-Einträge lesen.

Von Google verwaltetes SSL-Zertifikat verlängern

Trusted Cloud stellt verwaltete Zertifikate bereit, die 90 Tage lang gültig sind. Etwa ein Monat vor Ablauf beginnt automatisch der Prozess zur Verlängerung des Zertifikats. Dazu wird eine Zertifizierungsstelle (Certificate Authority, CA) ausgewählt, die sowohl im CAA-DNS-Eintrag Ihrer Domain als auch in der CA-Liste enthalten ist.

Für die Verlängerung wird möglicherweise eine andere Zertifizierungsstelle verwendet als die, mit der eine frühere Version Ihres von Google verwalteten Zertifikats ausgestellt wurde. Sie können die Zertifizierungsstelle bestimmen, dieTrusted Cloud für Verlängerungen verwendet. Dafür muss der CAA-DNS-Eintrag (Certificate Authority Authorization) Ihrer Domain eine einzelne Zertifizierungsstelle aus der CA-Liste angeben, die die von Google verwalteten Zertifikate verwenden.

Damit Ihre Zertifikate den Schritt der Domainvalidierung im Verlängerungsprozess nicht fehlschlagen, sollten Sie die Anforderungen an Ihre DNS-A- und AAAA-Einträge lesen.

Die Zertifizierungsstellen angeben, die Ihr von Google verwaltetes Zertifikat ausstellen können

Wir empfehlen Ihnen, in Ihrer DNS-Software die CAs, denen Sie die Ausstellung Ihres von Google verwalteten Zertifikats erlauben möchten, explizit zu autorisieren. Obwohl dies nicht in jedem Szenario erforderlich ist, ist es in bestimmten Situationen notwendig.

Wenn Sie beispielsweise einen externen DNS-Dienst verwenden und Ihr von Google verwaltetes Zertifikat widerrufen wird, überprüft der Dienst möglicherweise nur ein neues Zertifikat, das von einer oder mehreren bestimmten CAs ausgestellt wird.

Erstellen oder ändern Sie dazu einen CAA-Eintrag so, dass pki.goog, letsencrypt.org oder beides enthalten ist. Wenn Sie keinen CAA-Eintrag haben, werden standardmäßig pki.goog und letsencrypt.org zugelassen.

DOMAIN. CAA 0 issue "pki.goog"
DOMAIN. CAA 0 issue "letsencrypt.org"

Der Support für letsencrypt.org-Zertifikate erfolgt auf Best-Effort-Basis. Die beste Zuverlässigkeit erzielen Sie, wenn Sie sowohl pki.goog als auch letsencrypt.org zulassen. Wenn Sie nur eine der CAs angeben, wird nur diese zum Erstellen und Erneuern des Zertifikats verwendet: Diese Vorgehensweise wird jedoch nicht empfohlen.

Wenn Sie Ihr Zertifikat erstellen, wählt Trusted Cloud entwederpki.googoderletsencrypt.orgaus und verwendet es, um Ihr Zertifikat auszustellen. Wenn Google Ihr Zertifikat verlängert, kann es von einer anderen Zertifizierungsstelle ausgestellt werden. Dies hängt von den Zertifizierungsstellen ab, die Sie im CAA-Eintrag angegeben haben (wenn Sie einen erstellt haben). Ihr Zertifikat kann in den folgenden Fällen durch eine andere Zertifizierungsstelle verlängert werden:

• Sie haben keinen DNS-CAA-Eintrag für Ihre Domain.
• Sie haben beide Zertifizierungsstellen in den DNS-CAA-Eintrag aufgenommen.

Weitere Informationen finden Sie in den RFC, CAA-DNS-Eintrag.

letsencrypt.org gibt internationalisierte Domainnamen (IDNs) aus. pki.goog unterstützt derzeit keine IDNs.

Wenn Sie Cloud DNS verwenden, lernen Sie, wie Sie einen Eintrag hinzufügen und setzen Sie das Flag --type auf CAA.

Vorhandenes SSL-Zertifikat ersetzen

So ersetzen Sie ein vorhandenes SSL-Zertifikat:

1. Beginnen Sie mit dem Prozess zum Erstellen des von Google verwalteten SSL-Ersatzzertifikats. Dieses Zertifikat wird zu diesem Zeitpunkt nicht mehr AKTIV.

2. Aktualisieren Sie den Zielproxy, sodass die Liste der referenzierten Zertifikate das SSL-Ersatzzertifikat zusammen mit den aktuellen SSL-Zertifikaten enthält. Die Schritte zum Aktualisieren des Zielproxys unterscheiden sich so:

   • HTTPS-Zielproxy aktualisieren
   • SSL-Zielproxy aktualisieren

3. Warten Sie, bis die Bereitstellung des SSL-Ersatzzertifikats abgeschlossen ist. Dies kann bis zu 60 Minuten dauern. Nach Abschluss der Bereitstellung wird der Zertifikatsstatus in ACTIVE geändert.

4. Warten Sie weitere 30 Minuten, bis das Ersatzzertifikat sicher für alle Google Front Ends (GFEs) verfügbar ist.

5. Aktualisieren Sie den Zielproxy, um das zu ersetzende SSL-Zertifikat aus der Liste der referenzierten Zertifikate zu entfernen. Die Schritte zum Aktualisieren eines Zielproxys unterscheiden sich so:

   • HTTPS-Zielproxy aktualisieren
   • SSL-Zielproxy aktualisieren

6. Warten Sie zehn Minuten und prüfen Sie, ob der Load-Balancer das SSL-Ersatzzertifikat anstelle des alten verwendet.

7. Aktualisieren Sie den Zielproxy noch einmal, indem Sie die alte SSL-Zertifikatsressource entfernen. Sie können die SSL-Zertifikatsressource löschen, wenn sie von keinem Zielproxy referenziert wird.

Wenn Sie das alte SSL-Zertifikat nicht löschen, bleibt es solange AKTIV, bis es abläuft.

Migration von selbstverwalteten SSL-Zertifikaten zu von Google verwalteten SSL-Zertifikaten

Wenn Sie einen Load-Balancer von der Verwendung selbstverwalteter SSL-Zertifikate zu von Google verwalteten SSL-Zertifikaten migrieren, müssen Sie die folgenden Schritte in dieser Reihenfolge ausführen:

1. Erstellen Sie ein neues von Google verwaltetes Zertifikat.
2. Ordnen Sie ein neues von Google verwaltetes Zertifikat dem richtigen Zielproxy zu, während die Zuordnung des Zielproxys zum vorhandenen selbstverwalteten Zertifikat beibehalten wird.
3. Warten Sie bis der Status des von Google verwalteten Zertifikats ACTIVE ist.
4. Warten Sie 30 Minuten, bis das neue Zertifikat an die bereitstellenden Google Front Ends (GFEs) übertragen wurde.
5. Aktualisieren Sie den Zielproxy noch einmal und entfernen Sie das selbstverwaltete Zertifikat. Sie können die Zertifikatsressource löschen, wenn sie von keinem Zielproxy referenziert wird.

SSL-Zertifikat löschen

Achten Sie vor dem Löschen eines SSL-Zertifikats darauf, dass kein HTTPS- oder SSL-Zielproxy auf dieses Zertifikat verweist. Dafür haben Sie die beiden folgenden Möglichkeiten:

• Löschen Sie die Zielproxys, die auf dieses Zertifikat verweisen.

• Aktualisieren Sie die Zielproxys, die auf dieses Zertifikat verweisen, um es auszuschließen. Die Schritte unterscheiden sich so:

  • HTTPS-Zielproxy aktualisieren
  • SSL-Zielproxy aktualisieren

So löschen Sie ein oder mehrere SSL-Zertifikate:

gcloud compute ssl-certificates delete CERTIFICATE_NAME \
    --global

Nächste Schritte

• Fehlerbehebung bei SSL-Zertifikaten
• Informationen zur Verwendung eines Terraform-Skripts, das ein von Google verwaltetes Zertifikat erstellt, finden Sie im Cloud Run-Beispiel auf der Seite Terraform-Modulbeispiele für externe Anwendungs-Load-Balancer.