Trier et filtrer les certificats

Cette page explique comment trier et filtrer les certificats renvoyés par l'appel d'API ListCertificates dans Certificate Authority Service.

Aide au tri

Par défaut, l'appel d'API ListCertificates renvoie les certificats triés selon le champ create_time, les certificats les plus récents étant listés en premier. Vous ne pouvez pas spécifier d'autre ordre de tri.

Prise en charge du filtrage

Les champs suivants peuvent être utilisés pour filtrer les certificats renvoyés par l'appel d'API ListCertificates:

Nom du champ	Type de champ	Opérateurs pris en charge
create_time	timestamp	`<, >, <=, >=, =, !=`
update_time	timestamp	`<, >, <=, >=, =, !=`
certificate_description.subject_description.not_after_time	timestamp	`<, >, <=, >=, =, !=`
certificate_description.subject_description.not_before_time	timestamp	`<, >, <=, >=, =, !=`
certificate_description.cert_fingerprint.sha256_hash	chaîne	`=, !=`
certificate_description.subject_description.hex_serial_number	chaîne	`=, !=`
certificate_description.subject_description.subject.common_name	chaîne	`=, !=`
certificate_description.subject_description.subject.country_code	chaîne	`=, !=`
certificate_description.subject_description.subject.organization	chaîne	`=, !=`
certificate_description.subject_description.subject.organizational_unit	chaîne	`=, !=`
certificate_description.subject_description.subject.locality	chaîne	`=, !=`
certificate_description.subject_description.subject.province	chaîne	`=, !=`
certificate_description.subject_description.subject.street_address	chaîne	`=, !=`
certificate_description.subject_description.subject.postal_code	chaîne	`=, !=`
certificate_description.subject_description.subject_alt_name.dns_names	chaîne	: (opérateur HAS)
certificate_description.x509_description.key_usage.extended_key_usage.client_auth	bool	`=, !=`
certificate_description.x509_description.key_usage.extended_key_usage.server_auth	bool	`=, !=`
labels	carte	: (opérateur HAS)
certificate_template	chaîne	`=, !=`

(https://google.aip.dev/160#has-operator)

Remarque: Les champs certificate_description.x509_description.key_usage.extended_key_usage.client_auth et certificate_description.x509_description.key_usage.extended_key_usage.server_auth sont des valeurs booléennes qui indiquent si les utilisations étendues de clé correspondantes sont présentes.

Filtrer la syntaxe

La syntaxe de filtrage respecte les conseils sur le filtrage des API définis dans la section AIP 160, avec les limites suivantes:

seuls les opérateurs AND de premier niveau sont acceptés. Tout le reste ne l'est pas (par exemple, OR, NOT, les opérateurs imbriqués ou une combinaison de ces opérateurs).

Valide : le filtre n'utilise que l'opérateur AND de niveau supérieur.

create_time>"2020-08-21T11:30:00.11-05:00" AND certificate_description.x509_description.key_usage.extended_key_usage.server_auth=true

Non valide: le filtre utilise l'opérateur OR:

 create_time>"2020-08-21T11:30:00.11-05:00" OR certificate_description.x509_description.key_usage.extended_key_usage.server_auth=true

Non valide: le filtre utilise des opérateurs imbriqués:

 (create_time>"2020-08-21T11:30:00.11-05:00" AND certificate_description.x509_description.key_usage.extended_key_usage.server_auth=true) AND certificate_description.subject_description.subject.common_name="foo.com"

La mise en correspondance des caractères génériques (avec *) n'est pas acceptée, sauf pour le champ certificate_description.subject_description.subject_alt_name.dns_names qui accepte la correspondance du suffixe pour les étiquettes DNS.
- Valide: le filtre compare une correspondance de suffixe de caractère générique:
```
certificate_description.subject_description.subject_alt_name.dns_names:"*.foo.com"
```
- Non valide: le filtre est comparé à une correspondance de préfixe avec caractère générique:
```
certificate_description.subject_description.subject_alt_name.dns_names:"foo.*"
```
- Non valide: le filtre est comparé à un caractère générique pour un champ non compatible:
```
"certificate_description.subject_description.hex_serial_number"="*3d3"
```

Étapes suivantes

Découvrez comment demander des certificats.
Découvrez comment révoquer des certificats.
Consultez la documentation de référence de l'API REST.
Consultez la documentation de référence de l'API RPC.