https://cloud.google.com/load-balancing/docs/ssl-certificates?hl=ko
SSL 인증서 개요 | Load Balancing | Google Cloud
SSL 인증서를 사용하여 Google Cloud 부하 분산기와 안전하게 통신하는 방법을 알아봅니다.
cloud.google.com
https://cloud.google.com/certificate-manager/docs/deploy?hl=ko
배포 개요 | Certificate Manager | Google Cloud
의견 보내기 배포 개요 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. 이 페이지에서는 인증서 관리자를 사용하여 인증서를 배포하는 단계를 설명합니다.
cloud.google.com
https://cloud.google.com/certificate-manager/docs/deploy-google-managed-dns-auth
DNS 승인을 사용하여 전역 Google 관리형 인증서 배포 | Certificate Manager | Google Cloud
이 페이지는 Cloud Translation API를 통해 번역되었습니다. 의견 보내기 DNS 승인을 사용하여 전역 Google 관리형 인증서 배포 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분
cloud.google.com
# Internal LB 지원 가능
1. terraform google provider 업데이트 날짜로 추정 시 대략 2024년 3월 즈음부터 regional dns-authorization 및 certificate 생성 지원 추가됨
2. 콘솔로는 Certificate Manager 를 통해 생성한 Regional 인증서를 LB에 연결할 수 없으며 gcloud 커맨드나 API를 통해서만 사용 가능
3. 기존의 Compute Engine SSL Cert(Google Managed 인증서)를 사용할 때의 파라미터(--ssl-certificates)와 다른 파라미터(--certificate-manager-certificates)를 사용하여 설정(terraform 에서도 이와 같은 차이가 동일)
4. --ssl-certificates 파라미터와 --certificate-manager-certificates 파라미터는 함께 사용할 수 없음
참고.
https://github.com/hashicorp/terraform-provider-google/pull/17459
https://cloud.google.com/certificate-manager/docs/deploy-google-managed-regional?hl=ko#gcloud
# DNS 인증 생성
글로벌 인증서를 만드는 경우
gcloud certificate-manager dns-authorizations create auth-example-com \
--domain="example.com"
리전벌 인증서를 만드는 경우
gcloud certificate-manager dns-authorizations create auth-example-com \
--domain="example.com" \
--location=asia-northeast3
gcloud certificate-manager dns-authorizations list
gcloud certificate-manager dns-authorizations describe auth-example-com
# DNS 인증을 위한 CNAME 레코드 생성
gcloud dns record-sets transaction start --zone="zone-example-com"
gcloud dns record-sets transaction add xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.authorize.certificatemanager.goog. \
--name="_acme-challenge.example.com." \
--ttl="30" \
--type="CNAME" \
--zone="zone-example-com"
gcloud dns record-sets transaction execute --zone="zone-example-com"
# 인증서 생성
-> 와일드카드 도메인도 가능
글로벌 인증서의 경우
gcloud certificate-manager certificates create star-example-com \
--domains="*.example.com,example.com" --dns-authorizations=auth-example-com
리전별 인증서의 경우
gcloud certificate-manager certificates create star-example-com \
--domains="*.example.com,example.com" --dns-authorizations=auth-example-com \
--location=asia-northeast3
gcloud certificate-manager certificates list
gcloud certificate-manager certificates describe star-example-com
# 인증서를 LB 에 연결
신규 LB 생성
gcloud compute target-https-proxies create example-test-lb \
--certificate-manager-certificates=star-example-com \
--url-map=example-test \
--region=asia-northeast3
기존 LB 에 업데이트
gcloud compute target-https-proxies update example-test-lb \
--region=asia-northeast3 \
--certificate-manager-certificates=star-example-com
gcloud compute target-https-proxies list
gcloud compute target-https-proxies describe example-test-lb --region=asia-northeast3
# 삭제
gcloud certificate-manager certificates delete star-example-com
gcloud certificate-manager dns-authorizations delete auth-example-com
(참고) LB 용 싱글 도메인 인증서
1. "Compute Engine SSL 인증서" 라는 용어로 문서에 기재되어 있기도 함
2. certificate manager 로 생성하는 인증서와는 다른 종류의 인증서
3. 와일드카드 도메인 사용 불가
https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs
Google 관리형 SSL 인증서 사용 | Load Balancing | Google Cloud
Google Cloud 부하 분산기에서 Google 관리형 SSL 인증서를 만들고 사용하는 방법을 알아보세요.
cloud.google.com
## 인증서가 활성화되기 위한 조건
1. 생성된 인증서가 LB에 연결되어 있어야함
2. 도메인 레코드가 LB의 아이피로 설정되어 있어야함
'GCP' 카테고리의 다른 글
| Wireguard VPN 구성 시 클라이언트 사설 아이피를 식별하도록 구성하기 (0) | 2025.12.28 |
|---|---|
| GCP VM(+UDP LB) 구성하여 Wireguard VPN 설치 (0) | 2025.03.31 |
| workload identity federation with keycloak (0) | 2023.07.09 |
| workload identity federation with k8s cluster (1) | 2023.07.02 |
| GKE workload identity (0) | 2023.07.01 |
