过去一个小时我一直在兜圈子,试图更改 HTTP(S) 负载平衡器的 SSL 证书的域。
我似乎无法从控制台或 CLI 中找到更改/更新域的选项。创建新的后,我无法删除旧的,因为它附加到负载均衡器。要删除旧的 SSL 证书,我必须删除 LB 及其依赖项,并完成所有步骤以再次创建负载均衡器。
我可以知道这是错误还是预期行为?
谢谢。
答案 0 :(得分:0)
在删除 SSL 证书之前,您必须首先更新引用该证书的每个目标代理。对于每个目标代理,运行相应的 gcloud update 命令以更新目标代理的 CERTIFICATE_LIST,使其不再包含您需要删除的 SSL 证书。
请查看以下步骤来替换 SSL 证书。
1.创建新的 SSL 证书资源。新的 SSL 证书在项目中必须具有唯一的名称。 2. 更新目标代理,使其 SSL 证书列表在第一个位置包含新的 SSL 证书,使其成为主证书。在新证书之后,包括要保留的任何现有 SSL 证书。确保排除不再需要的旧 SSL 证书。为避免停机,请使用 --ssl-certificates 标志运行单个 gcloud 命令。例如:
对于外部 HTTP(S) 负载平衡器:
使用带有 --global 标志的 gcloud compute target-https-proxies update 命令。
gcloud 计算目标-https-代理更新 TARGET_PROXY_NAME
--全局
--ssl-certificates=new-ssl-cert,other-certificates
--global-ssl-certificates。
对于内部 HTTP(S) 负载平衡器:
gcloud 计算目标-https-代理更新 TARGET_PROXY_NAME
--region 区域
--ssl-certificates=new-ssl-cert,other-certificates
--global-ssl-certificates
对于 SSL 代理负载平衡器:
使用带有 --backend-service 标志的 gcloud compute target-ssl-proxies update 命令。
gcloud compute target-ssl-proxies 更新 TARGET_PROXY_NAME
--ssl-certificates=new-ssl-cert,other-certificates
回声 | openssl s_client -showcerts -connect IP_ADDRESS:443 -verify 99 -verify_return_error
如需进一步阅读,请点击以下链接: 删除/替换 SSL 证书:
替换现有的 SSL 证书
https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs#replace-ssl