如何在不停機的情況下遷移到 Google 託管憑證？

Question 1

其他答案都非常好，但我非常有動力找到一種遷移到 GCP 負載平衡器的方法，而無需計劃停機，我們基本上只是坐等證書頒發。添加我自己的答案，因為這個問題的流量相當大，而且事實證明，透過一些規劃和測試，停機是不必要的。

我是這樣做的：

為 example.com 核發臨時 Let's Encrypt 憑證。
將憑證匯入為自我管理憑證。
設定負載平衡器以使用自我管理的憑證。
更新 DNS 記錄以指向負載平衡器。
建立 Google 管理的憑證並將其指派為第二證書，除了自我管理的證書之外。
等待 Google 管理的憑證成為ACTIVE.這可能需要很長時間。如果沒有自我管理證書，就會出現停機。
等待 30 分鐘，讓憑證傳播到所有 Google 前端 (GFE)。
現在有兩個憑證分配給負載平衡器。將其更新為僅使用 Google 管理的憑證。完畢！

細節

總結一下這個問題：Google 的託管憑證需要指向已指派憑證的負載平衡器的 DNS 記錄，否則不會頒發憑證。這會產生一個問題，因為頒發憑證可能需要長達一個小時，而我們不希望在此期間出現 SSL 錯誤。

我發現的解決方法是使用自我管理證書在遷移過程中，一旦我們的網域指向 GCP 負載平衡器並且憑證已經頒發，就切換到 Google 託管憑證。

我用了讓我們加密證書，但其他也可以。這樣做的好處是我們已經在使用 Let's Encrypt 證書，所以我不用擔心憑證相容性。

這是我所做的簡化版本。負載平衡器的目標代理將稱為my-target-proxy，證書稱為lb-certificate-letsencrypt和lb-certificate-managed。域名是example.com和subdomain.example.com。

先決條件：

產生一個新證書用作自我管理證書，由 Let's Encrypt 簽署：

openssl genrsa -out letsencrypt.pem 2048

建立 openssl 設定檔：

openssl.conf

[req]
default_bits              = 2048
req_extensions            = extension_requirements
distinguished_name        = dn_requirements

[extension_requirements]
basicConstraints          = CA:FALSE
keyUsage                  = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName            = @sans_list

[dn_requirements]
countryName               = Country Name (2 letter code)
stateOrProvinceName       = State or Province Name (full name)
localityName              = Locality Name (eg, city)
0.organizationName        = Organization Name (eg, company)
organizationalUnitName    = Organizational Unit Name (eg, section)
commonName                = Common Name (e.g. server FQDN or YOUR name)
emailAddress              = Email Address

[sans_list]
DNS.1                     = example.com
DNS.2                     = subdomain.example.com

生成一個憑證簽署請求：

openssl req -new -key letsencrypt.pem -out letsencrypt.csr -config openssl.conf

從 Let's Encrypt 取得簽章憑證：

certbot certonly --csr letsencrypt.csr --manual --preferred-challenges dns

更新 certbot 指示的 DNS 記錄以驗證所有權。其他挑戰也可能有效，但 DNS 似乎是最簡單的。

記下哪個檔案是完整的憑證鏈，並0003_chain.pem在必要時在範例中進行替換：

完整的證書鏈保存在：...

在 GCP 中上傳並建立自我管理憑證：

gcloud compute ssl-certificates create lb-certificate-letsencrypt \
  --certificate=0003_chain.pem \
  --private-key=letsencrypt.pem \
  --global

建立您要移轉到的負載平衡器，或將其配置為使用自我管理憑證：

gcloud beta compute target-https-proxies create my-target-proxy \
  --ssl-certificates=lb-certificate-letsencrypt [url-map and other options]
# Or
gcloud beta compute target-https-proxies update my-target-proxy \
  --ssl-certificates=lb-certificate-letsencrypt

更新 DNS 記錄以指向負載平衡器的 IP。現在應該能夠終止 example.com 和 subdomain.example.com 的 TLS。您可以透過在主機檔案中新增 example.com 的記錄來測試此步驟，該記錄指向負載平衡器 IP。約翰·漢利（John Hanley）的回答對此提供了很多很好的建議。

建立託管憑證：

gcloud compute ssl-certificates create lb-certificate-managed \
  --domains=example.com,subdomain.example.com \
  --global

Google 管理的憑證不支援通配符，因此請務必列出所有正在使用的網域名稱。

將其指派給目標代理一起具有自我管理證書。在將憑證指派給代理程式之前，不會配置憑證：

gcloud beta compute target-https-proxies update my-target-proxy \
  --ssl-certificates=lb-certificate-letsencrypt,lb-certificate-managed

檢查狀態：

gcloud compute ssl-certificates describe lb-certificate-managed

等到status更改PROVISIONING為ACTIVE-任何其他狀態是一個應該調查的錯誤。 “配置 Google 管理的憑證可能需要長達 60 分鐘。”根據文件（讓我們加密在幾秒鐘內完成相同的事情......）。

負載平衡器可能還需要 30 分鐘才能使用。

所以，等待30分鐘狀態更改為後ACTIVE。

更新目標代理程式以僅使用 Google 管理的憑證：

gcloud beta compute target-https-proxies update my-target-proxy \
  --ssl-certificates=lb-certificate-managed

新設定可能需要一段時間才能傳播。在瀏覽器中或使用 openssl 驗證端點的發行者：

openssl s_client -connect example.com:443 -showcerts \
  -CAfile /etc/ssl/certs/ca-certificates.crt <<< Q

發行人現在應該是“Google Trust Services LLC”，而不是“Let's Encrypt”。

現在可以刪除自我管理的 Let's Encrypt 證書，或保留該證書直至其過期，以防託管證書出現任何問題。

若要清理未使用的自管理 Let's Encrypt 證書，請執行：

gcloud compute ssl-certificates delete lb-certificate-letsencrypt

Answer