Mengelola sertifikat

Halaman ini menjelaskan cara menggunakan Pengelola Sertifikat untuk membuat dan mengelola sertifikat Transport Layer Security (TLS) (SSL).

Untuk mengetahui informasi selengkapnya, lihat Sertifikat yang didukung.

Membuat sertifikat yang dikelola Google

Pengelola Sertifikat memungkinkan Anda membuat sertifikat yang dikelola Google dengan cara berikut:

  • Sertifikat yang dikelola Google dengan otorisasi load balancer (global)
  • Sertifikat yang dikelola Google dengan otorisasi DNS (global, regional, dan lintas-wilayah)
  • Sertifikat yang dikelola Google dengan Certificate Authority Service (CA Service) (global, regional, dan lintas-region)

Otorisasi load balancer

Otorisasi load balancer memungkinkan Anda mendapatkan sertifikat yang dikelola Google untuk domain saat traffic ditayangkan oleh load balancer. Metode ini tidak memerlukan data DNS tambahan untuk penyediaan sertifikat. Anda dapat menggunakan otorisasi load balancer untuk lingkungan baru tanpa traffic yang ada. Untuk mengetahui informasi tentang kapan harus menggunakan otorisasi load balancer dengan sertifikat yang dikelola Google, lihat Jenis otorisasi domain untuk sertifikat yang dikelola Google.

Anda hanya dapat membuat sertifikat yang dikelola Google dengan otorisasi load balancer di lokasi global. Sertifikat yang diotorisasi load balancer tidak mendukung domain karakter pengganti.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, klik Add Certificate.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Location, pilih Global.

  6. Untuk Cakupan, pilih salah satu opsi berikut:

    • Default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • Edge cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

    Anda tidak dapat menggunakan otorisasi load balancer dengan lokasi Regional atau cakupan Semua region.

  7. Untuk Certificate type, pilih Create Google-managed certificate.

  8. Untuk Jenis Certificate Authority, pilih Publik.

  9. Di kolom Domain Names, tentukan daftar nama domain sertifikat yang dipisahkan koma. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.

  10. Untuk Authorization type, pilih Load balancer authorization.

  11. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  12. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat global yang dikelola Google dengan otorisasi load balancer, gunakan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAMES: daftar domain target yang dipisahkan koma. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Terraform

Gunakan resource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAMES: daftar domain target yang dipisahkan koma. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Otorisasi DNS

Untuk menggunakan sertifikat yang dikelola Google sebelum lingkungan produksi siap, Anda dapat menyediakannya dengan otorisasi DNS. Untuk mengetahui informasi tentang kapan harus menggunakan otorisasi DNS dengan sertifikat yang dikelola Google, lihat Jenis otorisasi domain untuk sertifikat yang dikelola Google.

Untuk mengelola sertifikat secara independen di beberapa project, Anda dapat menggunakan otorisasi DNS per project. Untuk mengetahui informasi tentang cara membuat sertifikat dengan otorisasi DNS per project, lihat Membuat otorisasi DNS.

Sebelum membuat sertifikat, lakukan hal berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, klik Add Certificate.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Deskripsi, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Location, pilih Global atau Regional.

    Jika Anda telah memilih Regional, dari daftar Region, pilih wilayah Anda.

  6. Untuk Cakupan, pilih salah satu opsi berikut:

    • Default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • Semua region: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • Edge cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

    Kolom Cakupan tidak tersedia jika Anda telah memilih lokasi Regional.

  7. Untuk Certificate type, pilih Create Google-managed certificate.

  8. Untuk Jenis Certificate Authority, pilih Publik.

  9. Di kolom Domain Names, tentukan daftar nama domain sertifikat yang dipisahkan koma. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com. Nama domain juga dapat berupa nama domain karakter pengganti, seperti *.example.com.

  10. Untuk Authorization type, pilih DNS authorization.

    Halaman ini mencantumkan otorisasi DNS nama domain. Jika nama domain tidak memiliki otorisasi DNS terkait, ikuti langkah-langkah berikut untuk membuatnya:

    1. Klik Buat otorisasi DNS yang tidak ada.
    2. Di kolom DNS authorization name, tentukan nama otorisasi DNS. Jenis otorisasi DNS default adalah FIXED_RECORD. Untuk mengelola sertifikat secara independen di beberapa project, pilih kotak centang Otorisasi per project.
    3. Klik Create DNS authorization.

  11. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  12. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola Google dengan otorisasi DNS, jalankan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAME: nama domain target. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com, atau domain karakter pengganti, seperti *.myorg.example.com. Awalan titik bintang (*.) menandakan sertifikat karakter pengganti.
  • AUTHORIZATION_NAMES: daftar nama otorisasi DNS yang dipisahkan koma.
  • LOCATION: lokasi Google Cloud target. Defaultnya adalah global.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Terraform

Gunakan resource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates. create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAME: nama domain target. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Diterbitkan oleh Layanan CA

Anda dapat mengintegrasikan Pengelola Sertifikat dengan Layanan CA untuk menerbitkan sertifikat yang dikelola Google. Untuk menerbitkan sertifikat global yang dikelola Google, Anda menggunakan kumpulan CA regional di region mana pun. Untuk menerbitkan sertifikat yang dikelola Google secara regional, Anda menggunakan kumpulan CA di region yang sama dengan sertifikat Anda.

Sebelum membuat sertifikat, konfigurasi integrasi Layanan CA dengan Pengelola Sertifikat.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, klik Add Certificate.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Location, pilih Global atau Regional.

    Jika Anda telah memilih Regional, dari daftar Region, pilih wilayah Anda.

  6. Untuk Cakupan, pilih salah satu opsi berikut:

    • Default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • Semua region: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • Edge cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

    Kolom Cakupan tidak tersedia jika Anda telah memilih lokasi Regional.

  7. Untuk Certificate type, pilih Create Google-managed certificate.

  8. Untuk Jenis Certificate Authority, pilih Pribadi.

  9. Di kolom Domain Names, tentukan daftar nama domain sertifikat yang dipisahkan koma. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.

  10. Untuk Select a certificate issuance config, pilih nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

  11. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  12. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola Google dengan Certificate Authority Service, gunakan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAME: nama domain target. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com, atau domain karakter pengganti, seperti *.myorg.example.com. Awalan titik bintang (*.) menandakan sertifikat karakter pengganti.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • LOCATION: lokasi Google Cloud target. Defaultnya adalah global.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat.
  • DOMAIN_NAME: nama domain target. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Mengupload sertifikat yang dikelola sendiri

Untuk mengupload sertifikat yang dikelola sendiri, upload file sertifikat (CRT) dan file kunci pribadi (KEY) yang sesuai. Anda dapat mengupload sertifikat TLS (SSL) X.509 global dan regional dari jenis berikut:

  • Sertifikat yang dibuat oleh certificate authority (CA) pihak ketiga pilihan Anda.
  • Sertifikat yang dibuat oleh certificate authority yang Anda kontrol.
  • Sertifikat yang ditandatangani sendiri, seperti yang dijelaskan dalam Membuat kunci pribadi dan sertifikat.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, klik Add Certificate.

  3. Di kolom Nama sertifikat, masukkan nama unik untuk sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk sertifikat. Deskripsi memungkinkan Anda mengidentifikasi sertifikat.

  5. Untuk Location, pilih Global atau Regional.

    Jika Anda telah memilih Regional, dari daftar Region, pilih wilayah Anda.

  6. Untuk Cakupan, pilih salah satu opsi berikut:

    • Default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • Semua region: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • Edge cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

    Kolom Cakupan tidak tersedia jika Anda telah memilih lokasi Regional.

  7. Untuk Certificate type, pilih Create self-managed certificate.

  8. Untuk kolom Certificate, lakukan salah satu tindakan berikut:

    • Klik tombol Upload, lalu pilih file sertifikat berformat PEM.
    • Salin dan tempel konten sertifikat berformat PEM. Konten harus diawali dengan -----BEGIN CERTIFICATE----- dan diakhiri dengan -----END CERTIFICATE-----.

  9. Untuk kolom Sertifikat kunci pribadi, lakukan salah satu tindakan berikut:

    • Klik tombol Upload, lalu pilih kunci pribadi Anda. Kunci pribadi Anda harus berformat PEM dan tidak dilindungi dengan frasa sandi.
    • Salin dan tempel konten kunci pribadi berformat PEM. Kunci pribadi harus diawali dengan -----BEGIN PRIVATE KEY----- dan diakhiri dengan -----END PRIVATE KEY-----.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Buat.

    Sertifikat baru akan muncul dalam daftar sertifikat.

gcloud

Untuk membuat sertifikat yang dikelola sendiri, gunakan perintah certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • CERTIFICATE_FILE: jalur dan nama file sertifikat CRT.
  • PRIVATE_KEY_FILE: jalur dan nama file kunci pribadi KEY.
  • LOCATION: lokasi Google Cloud target. Defaultnya adalah global.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Terraform

Untuk mengupload sertifikat yang dikelola sendiri, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok self_managed.

API

Upload sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM kunci.
  • SCOPE: masukkan salah satu opsi berikut:
    • default: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi eksternal global atau Load Balancer Jaringan proxy eksternal global.
    • all-regions: jika Anda berencana menggunakan sertifikat dengan Load Balancer Aplikasi internal lintas region.
    • edge-cache: jika Anda berencana menggunakan sertifikat dengan Media CDN dan menentukan beberapa domain dalam sertifikat.

Memperbarui sertifikat

Anda dapat memperbarui sertifikat yang ada tanpa mengubah penetapannya ke nama domain dalam peta sertifikat yang sesuai. Saat Anda memperbarui sertifikat, pastikan SAN di sertifikat baru sama persis dengan SAN di sertifikat yang ada.

Sertifikat yang dikelola Google

Untuk sertifikat yang dikelola Google, Anda hanya dapat memperbarui deskripsi dan label sertifikat.

Konsol

Anda tidak dapat memperbarui sertifikat dari konsol Google Cloud. Sebagai gantinya, gunakan Google Cloud CLI.

gcloud

Untuk memperbarui sertifikat yang dikelola Google, gunakan perintah certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • DESCRIPTION: deskripsi unik sertifikat.
  • LABELS: daftar label yang dipisahkan koma yang diterapkan ke sertifikat ini.

API

Perbarui sertifikat dengan membuat permintaan PATCH ke metode certificates.patch sebagai berikut:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • CERTIFICATE_NAME: nama sertifikat.
  • DESCRIPTION: deskripsi sertifikat.
  • LABEL_KEY: kunci label yang diterapkan ke sertifikat.
  • LABEL_VALUE: nilai label yang diterapkan ke sertifikat.

Sertifikat yang dikelola sendiri

Untuk memperbarui sertifikat yang dikelola sendiri, Anda harus mengupload file berenkode PEM berikut:

  • File CRT sertifikat

  • File KEY kunci pribadi yang sesuai

Konsol

Anda tidak dapat memperbarui sertifikat dari konsol Google Cloud. Sebagai gantinya, gunakan Google Cloud CLI.

gcloud

Untuk memperbarui sertifikat yang dikelola sendiri, gunakan perintah certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • CERTIFICATE_FILE: jalur dan nama file sertifikat CRT.
  • PRIVATE_KEY_FILE: jalur dan nama file kunci pribadi KEY.
  • DESCRIPTION: nilai deskripsi unik untuk sertifikat ini.
  • LABELS: daftar label yang dipisahkan koma yang diterapkan ke sertifikat ini.
  • LOCATION: lokasi Google Cloud target. Flag ini bersifat opsional. Tentukan tanda ini hanya untuk sertifikat regional.

API

Perbarui sertifikat dengan membuat permintaan PATCH ke metode certificates.patch sebagai berikut:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target. Flag ini bersifat opsional. Tentukan tanda ini hanya untuk sertifikat regional.
  • CERTIFICATE_NAME: nama sertifikat.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM kunci.
  • DESCRIPTION: deskripsi yang bermakna tentang sertifikat.
  • LABEL_KEY: kunci label yang diterapkan ke sertifikat.
  • LABEL_VALUE: nilai label yang diterapkan ke sertifikat.

Mencantumkan sertifikat

Anda dapat melihat semua sertifikat project dan detailnya, seperti wilayah, nama host, tanggal habis masa berlaku, dan jenis.

Konsol

Halaman Pengelola Sertifikat di konsol Google Cloud dapat menampilkan maksimum 10.000 sertifikat. Jika project Anda berisi lebih dari 10.000 sertifikat yang dikelola oleh Pengelola Sertifikat, gunakan perintah gcloud CLI.

Untuk melihat sertifikat yang disediakan oleh Pengelola Sertifikat:

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Sertifikat.

    Tab ini mencantumkan semua sertifikat yang dikelola oleh Pengelola Sertifikat dalam project yang dipilih.

Untuk melihat sertifikat yang disediakan melalui Cloud Load Balancing:

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Sertifikat Klasik.

    Sertifikat klasik tidak dikelola oleh Pengelola Sertifikat. Untuk mengetahui informasi selengkapnya tentang cara mengelolanya, lihat hal berikut:

gcloud

Untuk mencantumkan sertifikat, gunakan perintah certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ganti kode berikut:

  • LOCATION: lokasi Google Cloud target. Untuk mencantumkan sertifikat dari semua region, gunakan - sebagai nilai. Defaultnya adalah global. Flag ini bersifat opsional.

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:

    • Waktu habis masa berlaku: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nama DNS SAN: --filter='san_dnsnames:"example.com"'
    • Status sertifikat: --filter='managed.state=FAILED'
    • Jenis sertifikat: --filter='managed:*'
    • Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT: jumlah maksimum hasil yang akan ditampilkan.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

API

Cantumkan sertifikat dengan membuat permintaan LIST ke metode certificates.list seperti berikut:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target. Untuk mencantumkan sertifikat dari semua region, gunakan - sebagai nilai.

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:

    • Waktu habis masa berlaku: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nama DNS SAN: --filter='san_dnsnames:"example.com"'
    • Status sertifikat: --filter='managed.state=FAILED'
    • Jenis sertifikat: --filter='managed:*'

    • Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan defaultnya adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

Melihat status sertifikat

Anda dapat melihat status sertifikat yang ada, termasuk status penyediaannya dan informasi mendetail lainnya.

Konsol

Jika project Anda berisi lebih dari 10.000 sertifikat yang dikelola oleh Pengelola Sertifikat, halaman Pengelola Sertifikat di konsol Google Cloud tidak akan mencantumkannya. Sebagai gantinya, gunakan perintah gcloud CLI. Namun, jika Anda memiliki link langsung ke halaman Details sertifikat, Anda dapat melihat detailnya di konsol Google Cloud.

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di halaman yang muncul, pilih tab Certificates.

  3. Di tab Certificates, buka sertifikat target, lalu klik nama sertifikat.

    Halaman Detail sertifikat menampilkan informasi mendetail tentang sertifikat yang dipilih.

  4. Opsional: Untuk melihat respons REST dari Certificate Manager API untuk sertifikat ini, klik Equivalent REST.

  5. Opsional: Jika sertifikat memiliki konfigurasi penerbitan sertifikat terkait yang ingin Anda lihat, di kolom Konfigurasi penerbitan, klik nama resource konfigurasi penerbitan sertifikat terkait.

    Konsol Google Cloud menampilkan konfigurasi lengkap konfigurasi penerbitan sertifikat.

gcloud

Untuk melihat status sertifikat, gunakan perintah certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • LOCATION: lokasi Google Cloud target. Lokasi defaultnya adalah global. Flag ini bersifat opsional.

API

Lihat status sertifikat dengan membuat permintaan GET ke metode certificates.get sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat.

Menghapus sertifikat

Sebelum Anda menghapus sertifikat, hapus dari semua entri peta sertifikat yang mereferensikannya; jika tidak, penghapusan akan gagal. Untuk mengetahui informasi selengkapnya, lihat Menghapus entri peta sertifikat.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Certificates, centang kotak sertifikat yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud

Untuk menghapus sertifikat, gunakan perintah certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat.
  • LOCATION: lokasi Google Cloud target. Lokasi defaultnya adalah global. Flag ini bersifat opsional.

API

Hapus sertifikat dengan membuat permintaan DELETE ke metode certificates.delete sebagai berikut:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat.

Langkah berikutnya