Làm cách nào để thiết lập Letsencrypt cho Google Cloud Compute Engine cân bằng tải?

Question

Tôi đã thiết lập Google Cloud Project của mình để sử dụng bộ cân bằng tải kết hợp với các mẫu cá thể mở rộng tự động. Hiện tại nhóm cá thể chỉ có một cá thể.

Tên miền của tôi đề cập thành công đến IP cân bằng tải. Cho đến khi các bước này hoạt động chính xác.

Bây giờ tôi muốn thiết lập SSL cho dự án này. Tôi muốn làm điều này với dịch vụ Letsencrypt, tuy nhiên tôi không thành công khi cố gắng thiết lập điều này.

Trong cửa sổ cân bằng tải của Google Cloud Engine, có tùy chọn thiết lập chứng chỉ được tạo trước đó với Google Cloud shell vào giao diện người dùng cân bằng tải. Rất tiếc, tôi chỉ có thể tạo tệp .csr và .key bằng Google Cloud Shell. Hơn nữa, tôi có thể tạo một chứng chỉ ssl không an toàn và lấy tệp .cert từ nó, nhưng tôi muốn tạo một tệp SSL SSL an toàn bằng cách sử dụng allowencrypt. Các dịch vụ Letsencrypt yêu cầu truy cập trực tiếp vào miền từ giao diện dòng lệnh mà commando đã được thực thi, đây có lẽ là lý do tại sao tôi nhận được lỗi cho biết tên miền không thể truy xuất được.

Tôi đang tìm cách cài đặt chứng chỉ Letsencrypt trên bộ cân bằng tải bằng Google Cloud. Có cách nào tôi có thể tự tạo một tập tin .cert với allowencrypt thay vì cài đặt trực tiếp? Nếu không có cách nào khác hoặc dịch vụ để tạo tệp .cert từ tệp .csr và .key?

Answer 1

Bạn có thể sử dụng certbot

Dưới đây là một ví dụ về cách tạo chỉ có giấy chứng nhận

$ ./certbot-auto certonly --standalone --email admin@example.com -d example.com -d www.example.com 

Answer 2

Bạn có thể sử dụng sslforfree.com, trong đó kêu gọi LetsEncrypt cho bạn và cung cấp cho bạn các phím để tải về. Nó cũng có thể nhắc nhở bạn gia hạn chứng chỉ của bạn. (Hiện tại không có cách nào để tự động gia hạn certs trong Google LB)

Answer 3

Nếu bạn sử dụng Kubernetes trên Google Compute Engine, giải pháp tốt là cert-manager, là phiên bản kế thừa của kube-lego. Cả hai có thể tự động yêu cầu giấy chứng nhận về nguồn Kubernetes Ingress từ Hãy Encrypt:

Tính năng

• Nhận nhu cầu của một chứng chỉ mới đối với trường hợp này:
  • Không giấy chứng nhận hiện
  • Chứng chỉ hiện tại không chứa tất cả các tên miền
  • Existin Giấy chứng nhận g đã hết hạn hoặc gần ngày hết hạn (cf. tùy chọn LEGO_MINIMUM_VALIDITY)
  • giấy chứng nhận hiện tại là unparseable, không hợp lệ hoặc không phù hợp với khóa bí mật
• Tạo một tài khoản người dùng (bao gồm cả.khóa riêng) cho Let's Encrypt và lưu trữ nó trong bí mật Kubernetes (tên bí mật được cấu hình thông qua LEGO_SECRET_NAME)
• Lấy chứng chỉ còn thiếu từ Let's Encrypt và cho phép yêu cầu với thử thách HTTP-01
• Đảm bảo rằng các đối tượng Kubernetes cụ thể (Dịch vụ, Ingress) chứa cấu hình quyền cho thử thách HTTP-01 để thành công
• Biểu đồ Kubernetes Helm chính thức để triển khai đơn giản.

Hướng dẫn từng bước cho GCE is available.