No Balanceador de carga HTTP global do Google, cada proxy de destino HTTPS está vinculado a um certificado. Você pode usar a ferramenta gcloud (pré-instalada em imagens GCE) para atualizar seus proxies de destino com novos certificados. Mas certifique-se de que:
- Sua versão do gcloud é relativamente recente. Os comandos target-https-proxies só foram adicionados recentemente, por isso não estão presentes em versões mais antigas do gcloud. (Não confundir com
target-http-proxies, que gerencia sites HTTP de texto simples) - Seu servidor de renovação tem acesso à API para recursos do Compute Engine. Você pode configurar isso nos seus modelos GCE ou por instância, por exemplo.
Você pode consultar o gcloud sobre o certificado atual para verificar se está prestes a expirar. Se estiver, você pode carregar seu novo certificado e usar o comando target-https-proxies update para alternar para o novo certificado. Você não verá as alterações imediatamente, mas, em breve, o certificado renovado deverá ser instalado globalmente.
Há uma cota de uso de 30 certificados SSL (pelo menos na minha conta). Mas se você não for muito agressivo com suas renovações, não terá problemas, mesmo que seu script de renovação não limpe os certificados expirados. Seria uma boa ideia manter pelo menos um certificado antigo, caso algo dê errado e você precise reverter.