인증서 관리

이 페이지에서는 인증서 관리자를 사용하여 전송 계층 보안 (TLS) (이전 명칭: SSL) 인증서를 만들고 관리하는 방법을 설명합니다.

자세한 내용은 지원되는 인증서를 참고하세요.

Google 관리형 인증서 만들기

인증서 관리자를 사용하면 다음과 같은 방법으로 Google 관리형 인증서를 만들 수 있습니다.

  • 부하 분산기 승인을 사용하는 Google 관리형 인증서 (전 세계)
  • DNS 승인을 사용하는 Google 관리형 인증서 (전역, 지역, 교차 지역)
  • Certificate Authority Service (CA 서비스)를 사용하는 Google 관리형 인증서(전역, 지역, 교차 리전)

부하 분산기 승인

부하 분산기 승인을 사용하면 부하 분산기에서 트래픽을 제공할 때 도메인의 Google 관리형 인증서를 가져올 수 있습니다. 이 방법은 인증서 프로비저닝에 추가 DNS 레코드가 필요하지 않습니다. 기존 트래픽이 없는 새 환경에 부하 분산기 승인을 사용할 수 있습니다. Google 관리형 인증서로 부하 분산기 승인을 사용하는 경우에 대한 자세한 내용은 Google 관리형 인증서의 도메인 승인 유형을 참고하세요.

global 위치에서만 부하 분산기 승인을 통해 Google 관리형 인증서를 만들 수 있습니다. 부하 분산기 승인 인증서는 와일드 카드 도메인을 지원하지 않습니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 인증서 추가를 클릭합니다.

  3. 인증서 이름 필드에 인증서의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 인증서에 대한 설명을 입력합니다. 설명을 통해 인증서를 식별할 수 있습니다.

  5. 위치에서 전역을 선택합니다.

  6. 범위에서 다음 옵션 중 하나를 선택합니다.

    • 기본값: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • 에지 캐시: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

    지역 위치 또는 모든 리전 범위에서는 부하 분산기 승인을 사용할 수 없습니다.

  7. 인증서 유형에서 Google 관리형 인증서 만들기를 선택합니다.

  8. 인증 기관 유형에서 공개를 선택합니다.

  9. 도메인 이름 필드에 인증서의 도메인 이름을 쉼표로 구분하여 입력합니다. 각 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.

  10. 승인 유형에서 부하 분산기 승인을 선택합니다.

  11. 라벨 필드에서 인증서에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  12. 만들기를 클릭합니다.

    새 인증서가 인증서 목록에 표시됩니다.

gcloud

부하 분산기 승인을 사용하여 전역 Google 관리형 인증서를 만들려면 certificate-manager certificates create 명령어를 사용합니다.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAMES: 쉼표로 구분된 대상 도메인 목록입니다. 각 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

Terraform

google_certificate_manager_certificate 리소스를 사용합니다.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요.

API

다음과 같이 certificates.create 메서드에 POST 요청을 전송하여 인증서를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAMES: 쉼표로 구분된 대상 도메인 목록입니다. 각 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

DNS 승인

프로덕션 환경이 준비되기 전에 Google 관리형 인증서를 사용하려면 DNS 승인을 사용하여 인증서를 프로비저닝하면 됩니다. Google 관리형 인증서로 DNS 승인을 사용하는 경우에 대한 자세한 내용은 Google 관리형 인증서의 도메인 승인 유형을 참고하세요.

여러 프로젝트에서 인증서를 독립적으로 관리하려면 프로젝트별 DNS 승인을 사용하면 됩니다. 프로젝트별 DNS 승인을 사용하여 인증서를 만드는 방법에 대한 자세한 내용은 DNS 승인 만들기를 참고하세요.

인증서를 만들기 전에 다음을 실행합니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 인증서 추가를 클릭합니다.

  3. 인증서 이름 필드에 인증서의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 인증서에 대한 설명을 입력합니다. 설명을 통해 인증서를 식별할 수 있습니다.

  5. 위치전역 또는 리전을 선택합니다.

    리전을 선택한 경우 리전 목록에서 리전을 선택합니다.

  6. 범위에서 다음 옵션 중 하나를 선택합니다.

    • 기본값: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • 모든 리전: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • 에지 캐시: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

    지역 위치를 선택한 경우 범위 입력란을 사용할 수 없습니다.

  7. 인증서 유형에서 Google 관리형 인증서 만들기를 선택합니다.

  8. 인증 기관 유형에서 공개를 선택합니다.

  9. 도메인 이름 필드에 인증서의 도메인 이름을 쉼표로 구분하여 입력합니다. 각 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다. 도메인 이름은 *.example.com과 같은 와일드 카드 도메인 이름일 수도 있습니다.

  10. 승인 유형에서 DNS 승인을 선택합니다.

    페이지에는 도메인 이름의 DNS 승인이 표시됩니다. 도메인 이름에 연결된 DNS 승인이 없는 경우 다음 단계에 따라 승인을 만듭니다.

    1. 누락된 DNS 승인 만들기를 클릭합니다.
    2. DNS 승인 이름 필드에 DNS 승인 이름을 지정합니다. 기본 DNS 승인 유형은 FIXED_RECORD입니다. 여러 프로젝트에서 인증서를 독립적으로 관리하려면 프로젝트별 승인 체크박스를 선택합니다.
    3. DNS 승인 만들기를 클릭합니다.

  11. 라벨 필드에서 인증서에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  12. 만들기를 클릭합니다.

    새 인증서가 인증서 목록에 표시됩니다.

gcloud

DNS 승인을 사용하여 Google 관리형 인증서를 만들려면 certificate-manager certificates create 명령어를 실행합니다.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAME: 대상 도메인 이름입니다. 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이거나 *.myorg.example.com과 같은 와일드 카드 도메인 이름이어야 합니다. 별표 점 프리픽스(*.)는 와일드 카드 인증서를 나타냅니다.
  • AUTHORIZATION_NAMES: DNS 승인 이름을 쉼표로 구분한 목록입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 기본값은 global입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

Terraform

google_certificate_manager_certificate 리소스를 사용합니다.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

다음과 같이 certificates. create 메서드에 POST 요청을 전송하여 인증서를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAME: 대상 도메인 이름입니다. 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

CA 서비스에서 발급

인증서 관리자를 CA 서비스와 통합하여 Google 관리형 인증서를 발급할 수 있습니다. 전역 Google 관리형 인증서를 발급하려면 모든 리전에서 리전별 CA 풀을 사용합니다. 리전별 Google 관리형 인증서를 발급하려면 인증서와 동일한 리전에 있는 CA 풀을 사용합니다.

인증서를 만들기 전에 인증서 관리자와 CA 서비스 통합을 구성합니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 인증서 추가를 클릭합니다.

  3. 인증서 이름 필드에 인증서의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 인증서에 대한 설명을 입력합니다. 설명을 통해 인증서를 식별할 수 있습니다.

  5. 위치전역 또는 리전을 선택합니다.

    리전을 선택한 경우 리전 목록에서 리전을 선택합니다.

  6. 범위에서 다음 옵션 중 하나를 선택합니다.

    • 기본값: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • 모든 리전: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • 에지 캐시: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

    지역 위치를 선택한 경우 범위 입력란을 사용할 수 없습니다.

  7. 인증서 유형에서 Google 관리형 인증서 만들기를 선택합니다.

  8. 인증 기관 유형에서 비공개를 선택합니다.

  9. 도메인 이름 필드에 인증서의 도메인 이름을 쉼표로 구분하여 입력합니다. 각 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.

  10. 인증서 발급 구성 선택에서 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름을 선택합니다.

  11. 라벨 필드에서 인증서에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  12. 만들기를 클릭합니다.

    새 인증서가 인증서 목록에 표시됩니다.

gcloud

Certificate Authority Service로 Google 관리형 인증서를 만들려면 certificate-manager certificates create 명령어를 사용합니다.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAME: 대상 도메인 이름입니다. 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이거나 *.myorg.example.com과 같은 와일드 카드 도메인 이름이어야 합니다. 별표 점 프리픽스(*.)는 와일드 카드 인증서를 나타냅니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 기본값은 global입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

API

다음과 같이 certificates.create 메서드에 POST 요청을 전송하여 인증서를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DOMAIN_NAME: 대상 도메인 이름입니다. 도메인 이름은 myorg.example.com과 같은 정규화된 도메인 이름이어야 합니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

자체 관리형 인증서 업로드

자체 관리형 인증서를 업로드하려면 인증서 (CRT) 파일과 해당 비공개 키 (KEY) 파일을 업로드합니다. 다음 유형의 전역 및 리전 X.509 TLS (SSL) 인증서를 업로드할 수 있습니다.

  • 원하는 서드 파티 인증 기관 (CA)에서 생성한 인증서
  • 사용자가 관리하는 인증 기관에서 생성한 인증서
  • 비공개 키 및 인증서 만들기에 설명된 자체 서명 인증서

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 인증서 추가를 클릭합니다.

  3. 인증서 이름 필드에 인증서의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 인증서에 대한 설명을 입력합니다. 설명을 통해 인증서를 식별할 수 있습니다.

  5. 위치전역 또는 리전을 선택합니다.

    리전을 선택한 경우 리전 목록에서 리전을 선택합니다.

  6. 범위에서 다음 옵션 중 하나를 선택합니다.

    • 기본값: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • 모든 리전: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • 에지 캐시: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

    지역 위치를 선택한 경우 범위 입력란을 사용할 수 없습니다.

  7. 인증서 유형에서 자체 관리형 인증서 만들기를 선택합니다.

  8. 인증서 필드에서 다음 중 하나를 수행합니다.

    • 업로드 버튼을 클릭하고 PEM 형식의 인증서 파일을 선택합니다.
    • PEM 형식 인증서의 내용을 복사하여 붙여넣습니다. 내용은 -----BEGIN CERTIFICATE-----로 시작하고 -----END CERTIFICATE-----로 끝나야 합니다.

  9. 비공개 키 인증서 필드에서 다음 중 하나를 수행합니다.

    • 업로드 버튼을 클릭하고 비공개 키를 선택합니다. 비공개 키는 PEM 형식이어야 하며 암호로 보호되지 않습니다.
    • PEM 형식의 비공개 키 내용을 복사하여 붙여넣습니다. 비공개 키는 -----BEGIN PRIVATE KEY-----로 시작하고 -----END PRIVATE KEY-----로 끝나야 합니다.

  10. 라벨 필드에서 인증서에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  11. 만들기를 클릭합니다.

    새 인증서가 인증서 목록에 표시됩니다.

gcloud

자체 관리형 인증서를 만들려면 certificate-manager certificates create 명령어를 사용합니다.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • CERTIFICATE_FILE: CRT 인증서 파일의 경로와 파일 이름입니다.
  • PRIVATE_KEY_FILE: KEY 비공개 키 파일의 경로 및 파일 이름입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 기본값은 global입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

Terraform

자체 관리형 인증서를 업로드하려면 self_managed 블록과 함께 google_certificate_manager_certificate 리소스를 사용하면 됩니다.

API

다음과 같이 certificates.create 메서드에 POST 요청을 전송하여 인증서를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • PEM_CERTIFICATE: 인증서 PEM입니다.
  • PEM_KEY: 키 PEM입니다.
  • SCOPE: 다음 옵션 중 하나를 입력합니다.
    • default: 전역 외부 애플리케이션 부하 분산기 또는 전역 외부 프록시 네트워크 부하 분산기에서 인증서를 사용할 계획인 경우
    • all-regions: 리전 간 내부 애플리케이션 부하 분산기에서 인증서를 사용할 계획인 경우
    • edge-cache: Media CDN에서 인증서를 사용하고 인증서에 여러 도메인을 지정하려는 경우

인증서 업데이트

해당하는 인증서 맵 내에서 도메인 이름에 대한 할당을 수정하지 않고 기존 인증서를 업데이트할 수 있습니다. 인증서를 업데이트할 때 새 인증서의 SAN이 기존 인증서의 SAN과 정확하게 일치하는지 확인합니다.

Google 관리형 인증서

Google 관리형 인증서의 경우 인증서의 설명과 라벨만 업데이트할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 업데이트할 인증서를 찾은 다음 인증서 이름을 클릭합니다. 인증서 세부정보 페이지에 선택한 인증서에 관한 자세한 정보가 표시됩니다.

  3. 수정을 클릭합니다. 인증서 수정 페이지가 표시됩니다.

  4. 선택사항: 설명 필드에 인증서에 대한 새 설명을 입력합니다.

  5. 선택사항: 인증서와 연결된 라벨을 추가, 삭제 또는 변경할 수 있습니다. 라벨을 추가하려면 라벨 추가 버튼을 클릭한 다음 라벨에 keyvalue를 지정합니다.

  6. 저장을 클릭합니다. 표시되는 인증서 세부정보 페이지에서 인증서가 업데이트되었는지 확인합니다.

gcloud

Google 관리형 인증서를 업데이트하려면 certificate-manager certificates update 명령어를 사용합니다.

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DESCRIPTION: 인증서의 고유한 설명입니다.
  • LABELS: 이 인증서에 적용된 쉼표로 구분된 라벨 목록입니다.

API

다음과 같이 certificates.patch 메서드에 PATCH 요청을 전송하여 인증서를 만듭니다.

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • DESCRIPTION: 인증서 설명입니다.
  • LABEL_KEY: 인증서에 적용된 라벨 키입니다.
  • LABEL_VALUE: 인증서에 적용되는 라벨 값입니다.

자체 관리형 인증서

자체 관리형 인증서를 업데이트하려면 다음과 같은 PEM으로 인코딩된 파일을 업로드해야 합니다.

  • 인증서 CRT 파일

  • 해당 비공개 키 KEY 파일

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 업데이트할 인증서를 찾은 다음 인증서 이름을 클릭합니다. 인증서 세부정보 페이지에 선택한 인증서에 관한 자세한 정보가 표시됩니다.

  3. 수정을 클릭합니다. 인증서 수정 페이지가 표시됩니다.

  4. 선택사항: 설명 필드에 인증서에 대한 새 설명을 입력합니다.

  5. 선택사항: 인증서 필드에서 다음 중 하나를 수행합니다.

    • 업로드 버튼을 클릭한 다음 PEM 형식의 인증서 파일을 선택합니다.
    • PEM 형식 인증서의 내용을 복사하여 붙여넣습니다. 내용은 -----BEGIN CERTIFICATE-----로 시작하고 -----END CERTIFICATE-----로 끝나야 합니다.

  6. 선택사항: 비공개 키 인증서 필드에서 다음 중 하나를 수행합니다.

    • 업로드 버튼을 클릭한 다음 비공개 키를 선택합니다. 비공개 키는 PEM 형식이어야 하며 암호로 보호되어서는 안 됩니다.
    • PEM 형식의 비공개 키 내용을 복사하여 붙여넣습니다. 비공개 키는 -----BEGIN PRIVATE KEY-----로 시작하고 -----END PRIVATE KEY-----로 끝나야 합니다.

  7. 선택사항: 인증서와 연결된 라벨을 추가, 삭제 또는 변경할 수 있습니다. 라벨을 추가하려면 라벨 추가 버튼을 클릭한 다음 라벨에 keyvalue를 지정합니다.

  8. 저장을 클릭합니다. 표시되는 인증서 세부정보 페이지에서 인증서가 업데이트되었는지 확인합니다.

gcloud

자체 관리 인증서를 업데이트하려면 certificate-manager certificates update 명령어를 사용합니다.

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • CERTIFICATE_FILE: CRT 인증서 파일의 경로와 파일 이름입니다.
  • PRIVATE_KEY_FILE: KEY 비공개 키 파일의 경로 및 파일 이름입니다.
  • DESCRIPTION: 이 인증서에 대한 고유한 설명 값입니다.
  • LABELS: 이 인증서에 적용된 쉼표로 구분된 라벨 목록입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 이 플래그는 선택사항입니다. 지역 인증서에만 이 플래그를 지정합니다.

API

다음과 같이 certificates.patch 메서드에 PATCH 요청을 전송하여 인증서를 만듭니다.

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다. 이 플래그는 선택사항입니다. 지역 인증서에만 이 플래그를 지정합니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • PEM_CERTIFICATE: 인증서 PEM입니다.
  • PEM_KEY: 키 PEM입니다.
  • DESCRIPTION: 인증서에 대한 의미 있는 설명입니다.
  • LABEL_KEY: 인증서에 적용된 라벨 키입니다.
  • LABEL_VALUE: 인증서에 적용되는 라벨 값입니다.

인증서 나열

프로젝트의 모든 인증서와 지역, 호스트 이름, 만료일, 유형과 같은 세부정보를 확인할 수 있습니다.

콘솔

Google Cloud 콘솔의 인증서 관리자 페이지에는 최대 10,000개의 인증서를 표시할 수 있습니다. 프로젝트에 인증서 관리자에서 관리하는 인증서가 10,000개가 넘는 경우 gcloud CLI 명령어를 사용하세요.

Certificate Manager에서 프로비저닝한 인증서를 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭을 클릭합니다. 이 탭에는 선택한 프로젝트의 인증서 관리자가 관리하는 모든 인증서가 나열됩니다.

Cloud Load Balancing을 통해 프로비저닝된 인증서를 보려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 기존 인증서 탭을 클릭합니다.

    기존 인증서는 인증서 관리자로 관리되지 않습니다. 인증서를 관리하는 방법에 관한 자세한 내용은 Google 관리형 인증서 사용 또는 자체 관리형 인증서 사용 방법에 관한 문서를 참고하세요.

gcloud

인증서를 나열하려면 certificate-manager certificates list 명령어를 사용합니다.

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

다음을 바꿉니다.

  • LOCATION: 대상 Google Cloud 위치입니다. 모든 리전의 인증서를 나열하려면 -를 값으로 사용합니다. 기본값은 global입니다. 이 플래그는 선택사항입니다.

  • FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

    예를 들어 다음 기준에 따라 결과를 필터링할 수 있습니다.

    • 만료 시간: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN DNS 이름: --filter='san_dnsnames:"example.com"'
    • 인증서 상태: --filter='managed.state=FAILED'
    • 인증서 유형: --filter='managed:*'
    • 라벨 및 생성 시간: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참고하세요.

  • PAGE_SIZE: 페이지당 반환할 결과 수입니다.

  • LIMIT: 반환할 최대 결과 수입니다.

  • SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.

API

다음과 같이 certificates.list 메서드에 LIST 요청을 전송하여 인증서를 나열합니다.

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다. 모든 리전의 인증서를 나열하려면 -를 값으로 사용합니다.

  • FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

    예를 들어 다음 기준에 따라 결과를 필터링할 수 있습니다.

    • 만료 시간: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN DNS 이름: --filter='san_dnsnames:"example.com"'
    • 인증서 상태: --filter='managed.state=FAILED'
    • 인증서 유형: --filter='managed:*'

    • 라벨 및 생성 시간: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참조하세요.

  • PAGE_SIZE: 페이지당 반환할 결과 수입니다.

  • SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.

인증서 상태 보기

프로비저닝 상태 및 기타 자세한 정보를 포함하여 기존 인증서의 상태를 볼 수 있습니다.

콘솔

인증서 관리자에서 관리하는 프로젝트에 인증서가 10,000개가 넘는 경우 Google Cloud 콘솔의 인증서 관리자 페이지에 인증서가 표시되지 않습니다. 대신 gcloud CLI 명령어를 사용하세요. 하지만 인증서의 세부정보 페이지로 직접 연결되는 링크가 있는 경우 Google Cloud 콘솔에서 세부정보를 볼 수 있습니다.

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 표시되는 페이지에서 인증서 탭을 선택합니다.

  3. 인증서 탭에서 대상 인증서로 이동한 다음 인증서 이름을 클릭합니다. 인증서 세부정보 페이지에 선택한 인증서에 관한 세부정보가 표시됩니다.

  4. 선택사항: 이 인증서에 대한 Certificate Manager API의 REST 응답을 보려면 동등한 REST를 클릭합니다.

  5. 선택사항: 인증서에 확인하려는 연결된 인증서 발급 구성이 있으면 발급 구성 필드에서 연결된 인증서 발급 구성 리소스의 이름을 클릭합니다. Google Cloud 콘솔에는 인증서 발급 구성의 전체 구성이 표시됩니다.

gcloud

인증서 상태를 보려면 certificate-manager certificates describe 명령어를 사용합니다.

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 기본 위치는 global입니다. 이 플래그는 선택사항입니다.

API

다음과 같이 certificates.get 메서드에 GET 요청을 전송하여 인증서 상태를 확인합니다.

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.

인증서 삭제

인증서를 삭제하려면 먼저 인증서를 참조하는 모든 인증서 맵 항목에서 인증서를 삭제해야 합니다. 그렇지 않으면 삭제가 실패합니다. 자세한 내용은 인증서 매핑 항목 삭제를 참고하세요.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.

    인증서 관리자로 이동

  2. 인증서 탭에서 삭제할 인증서의 체크박스를 선택합니다.

  3. 삭제를 클릭합니다.

  4. 표시되는 대화상자에서 삭제를 클릭하여 확인합니다.

gcloud

인증서를 삭제하려면 certificate-manager certificates delete 명령어를 사용합니다.

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

다음을 바꿉니다.

  • CERTIFICATE_NAME: 인증서의 이름입니다.
  • LOCATION: 대상 Google Cloud 위치입니다. 기본 위치는 global입니다. 이 플래그는 선택사항입니다.

API

다음과 같이 certificates.delete 메서드에 DELETE 요청을 전송하여 인증서를 삭제합니다.

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트의 ID
  • LOCATION: 대상 Google Cloud 위치입니다.
  • CERTIFICATE_NAME: 인증서의 이름입니다.

다음 단계