Como renovar o recurso SslCertificate no balanceador de carga do Google Cloud?

3

Existe uma maneira de renovar um recurso SslCertificate no balanceador de carga do Google Cloud quando o certificado subjacente expira ou você precisa criar um novo recurso com o certificado renovado?

Estou me referindo a este serviço: link (observe a falta referência à renovação de um certificado).

Obrigado, tudo!

    
por Christopher Ryan 14.08.2017 / 22:08

2 respostas

3

No Balanceador de carga HTTP global do Google, cada proxy de destino HTTPS está vinculado a um certificado. Você pode usar a ferramenta gcloud (pré-instalada em imagens GCE) para atualizar seus proxies de destino com novos certificados. Mas certifique-se de que:

  • Sua versão do gcloud é relativamente recente. Os comandos target-https-proxies só foram adicionados recentemente, por isso não estão presentes em versões mais antigas do gcloud. (Não confundir com target-http-proxies , que gerencia sites HTTP de texto simples)
  • Seu servidor de renovação tem acesso à API para recursos do Compute Engine. Você pode configurar isso nos seus modelos GCE ou por instância, por exemplo.

Você pode consultar o gcloud sobre o certificado atual para verificar se está prestes a expirar. Se estiver, você pode carregar seu novo certificado e usar o comando target-https-proxies update para alternar para o novo certificado. Você não verá as alterações imediatamente, mas, em breve, o certificado renovado deverá ser instalado globalmente.

Há uma cota de uso de 30 certificados SSL (pelo menos na minha conta). Mas se você não for muito agressivo com suas renovações, não terá problemas, mesmo que seu script de renovação não limpe os certificados expirados. Seria uma boa ideia manter pelo menos um certificado antigo, caso algo dê errado e você precise reverter.

    
por 15.08.2017 / 08:57
0

Parece que o Google oferece outra solução, você pode criar um novo certificado, criar um novo recurso de SslCertificate e colocá-lo no balanceador de carga. Ele permitiria que você alterasse certificados sem tempo de inatividade, se houvesse algo errado com o novo certificado. No final, você poderia eliminar o recurs de SslCertificate expirado.

    
por 14.08.2017 / 22:36