안녕하세요, 

베스핀글로벌 GCP Support팀입니다.


이번 아티클에서는 주제로 "LB의 자체 관리형 SSL 인증서 교체 방법"을 다루고자 합니다.



자체 관리형 SSL 인증서 교체


구글 관리형 SSL 인증서와 다르게 자체 관리형 SSL 인증서는 만료 기간이 다가와도 자동 갱신이 되지 않습니다.

따라서 직접 Load Balancer에서 사용하는 자체 관리형 SSL 인증서가 만료되기 전 인증서 교체를 진행 해주어야 합니다.[1]

교체 작업을 진행하기 전에 우선 아래 명령어로 인증서의 만료 기한을 확인하실 수 있습니다.


gcloud compute ssl-certificates describe [인증서 이름]


LB의 자체 관리형 SSL 인증서 교체는 아래와 같은 방법으로 진행할 수 있습니다.


1. 새로운 SSL 인증서 등록

※ 해당 인증서에 대한 인증서 파일과 Private Key 파일이 필요합니다.


- 웹 콘솔  > Network services > Load Balancing > 하단의 load balancing components view 클릭



 - CERTIFICATE 탭 선택 > Create SSL certificate > 준비한 인증서 파일 & Private Key 파일을 업로드하여 신규 SSL 인증서 생성




2. gcloud 명령어를 사용하여 LB의 대상 프록시를 업데이트



gcloud compute target-https-proxies update "LB의 대상 프록시" \

   --region "LB의 리전" \

   --ssl-certificates="신규인증서 이름","기존 인증서 이름"


위 명령어와 같이 2개의 인증서가 모두 등록되었는지 확인합니다.




이후 Google 프런트엔드(GFE)에서 교체 인증서를 사용할 수 있도록 15분 동안 기다립니다.


gcloud 명령어를 사용하여 기존 인증서를 제외한 신규 인증서만 사용하도록 다시 대상 프록시를 업데이트합니다.


gcloud compute target-https-proxies update "LB의 대상 프록시" \

   --region "LB의 리전" \

   --ssl-certificates="신규인증서 이름"



3. 인증서 교체 완료 후 만료된 기존 인증서를 삭제합니다.



참조 링크


[1] 자체 관리형 인증서 교체 

https://cloud.google.com/load-balancing/docs/ssl-certificates/self-managed-certs#replacing-certificates



관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.


감사합니다.