Google Cloud にウェブサイトの SSL/TLS 証明書を管理させます。
Google は最近、Google Cloud ロードバランサでプロビジョニングできるマネージド証明書を発表しました。マネージド証明書を使用する利点は、CSR を作成して定期的に署名してもらうことを心配する必要がないことです。
しかも無料です。
マネージド証明書の実装はオプションであり、ここで説明した商用証明書を使用していつでもサイトを保護できます。
それでは、始めましょう…
すでに Google クラウド ロード バランサをお持ちだと思います (作成にヘルプが必要な場合は、このガイドを確認してください)。
- Cloud Console にログインし、[ネットワーク サービス] >> [負荷分散] に移動します。
- Google 管理の証明書を実装する LB を選択し、[編集] をクリックします。
- フロントエンド構成タブに移動し、フロントエンド IP とポートを追加します。
- 名前を入力し、プロトコルとして HTTPS を選択します (HTTP/2 サポートが組み込まれています)
- 既存の予約済み IP アドレスを選択するか、持っていない場合は予約します。
- ドロップダウンで新しい証明書を作成します
- 別のウィザードが開くので、Google 管理の証明書を選択し、ロード バランサー IP を指すドメインを入力し、[作成] をクリックします。
- 現時点では、これを SSL ポリシーと QUIC ネゴシエーションのデフォルト設定にしておきます。
- 「完了」をクリックして更新します
数秒かかります。別の IP が表示されます。ポート (443) が証明書とともに詳細セクションに追加されます。
待ってください、まだ終わっていません。
lab 証明書の前に灰色の感嘆符が表示されますか?
つまり、Google はまだ証明書をプロビジョニング中であり、数分かかる可能性があります。完了すると、緑色に変わるはずです。
HTTPS 経由のテストサイト
自分のサイトにアクセスしようとしましたが、エラーが発生しました。
デフォルトの GCP SSL ポリシーにはカスタマイズが必要なようですが、良いニュースではありません。
しかし、心配しないでください。私がやった方法で修正できます。
デフォルトの GCP SSL ポリシーは最小 TLS 1.0 で構成されているため、TLS 1.0 以降をサポートするブラウザで動作するはずだと理解しています。この言い方は正しいでしょうか?
これを機能させるには、TLS 1.2 を使用して新しい SSL ポリシーを作成する必要がありました。
- ネットワーク セキュリティ >> SSL ポリシー >> ポリシーの作成に移動します。
- 名前を入力し、バージョンを TLS 1.2、互換性のあるプロファイルとして選択します
- ターゲットをロードバランサとして追加して保存します
TLS 1.2 で新しく作成され、ロード バランサーによって使用されるポリシーが表示されます。
そして最後に、HTTPS 経由でラボ サイトを取得できるようになりました。
ご覧のとおり、証明書は Let’s Encrypt によって発行されています。
TLS 1.2 の使用について心配する必要はありません。TLS 1.2 は最新のすべてのブラウザと互換性があります。
結論
Google 管理のオプションを使用して Let’s Encrypt 証明書を実装するのははるかに簡単です。 10 分以内に、サイトは TLS 証明書で安全になります。 GCP は印象的です。学習または認定資格の取得を検討している場合は、 A Cloud Guru によるこのオンライン コースをチェックしてください。