Gerenciar certificados

Esta página descreve como usar o Gerenciador de certificados para criar e gerenciar certificados de segurança da camada de transporte (TLS) (SSL).

Para mais informações, consulte Certificados compatíveis.

Criar um certificado gerenciado pelo Google

O Gerenciador de certificados permite criar certificados gerenciados pelo Google das seguintes maneiras:

  • Certificados gerenciados pelo Google com autorização do balanceador de carga (global)
  • Certificados gerenciados pelo Google com autorização de DNS (global, regional e inter-regional)
  • Certificados gerenciados pelo Google com o Certificate Authority Service (global, regional e entre regiões)

Autorização do balanceador de carga

A autorização do balanceador de carga permite que você receba um certificado gerenciado pelo Google para seu domínio quando o tráfego é veiculado pelo balanceador de carga. Esse método não exige registros DNS adicionais para provisionamento de certificado. É possível usar autorizações de balanceador de carga para novos ambientes sem tráfego. Para informações sobre quando usar a autorização do balanceador de carga com um certificado gerenciado pelo Google, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.

É possível criar certificados gerenciados pelo Google com autorização do balanceador de carga apenas no local global. Os certificados autorizados do balanceador de carga não são compatíveis com domínios curinga.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Armazenamento em cache de borda: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

    Não é possível usar a autorização do balanceador de carga com um local Regional ou o escopo Todas as regiões.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade certificadora, selecione Pública.

  9. No campo Domain Names, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  10. Em Tipo de autorização, selecione Autorização do balanceador de carga.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado global gerenciado pelo Google com autorização do balanceador de carga, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Terraform

Use um recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Autorização de DNS

Para usar certificados gerenciados pelo Google antes que o ambiente de produção esteja pronto, é possível provisioná-los com autorizações de DNS. Para saber quando usar a autorização de DNS com um certificado gerenciado pelo Google, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.

Para gerenciar certificados de forma independente em vários projetos, use a autorização de DNS por projeto. Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Criar uma autorização de DNS.

Antes de criar o certificado, faça o seguinte:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, selecione sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Armazenamento em cache de borda: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade certificadora, selecione Pública.

  9. No campo Domain Names, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com. O nome de domínio também pode ser um nome de domínio curinga, como *.example.com.

  10. Em Tipo de autorização, selecione Autorização DNS.

    A página lista as autorizações de DNS dos nomes de domínio. Se um nome de domínio não tiver uma autorização de DNS associada, siga estas etapas para criar uma:

    1. Clique em Criar autorização de DNS ausente.
    2. No campo DNS authorization name, especifique o nome da autorização DNS. O tipo de autorização de DNS padrão é FIXED_RECORD. Para gerenciar certificados de forma independente em vários projetos, marque a caixa de seleção Per project authorization.
    3. Clique em Criar autorização de DNS.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado gerenciado pelo Google com autorização de DNS, execute o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto de asterisco (*.) significa um certificado curinga.
  • AUTHORIZATION_NAMES: uma lista delimitada por vírgulas de nomes das autorizações DNS.
  • LOCATION: o local Google Cloud de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Terraform

Use um recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crie o certificado fazendo uma solicitação POST ao método certificates. create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Emitido pelo serviço de AC

É possível integrar o Certificate Manager ao serviço de AC para emitir certificados gerenciados pelo Google. Para emitir certificados globais gerenciados pelo Google, use um pool de AC regional em qualquer região. Para emitir certificados regionais gerenciados pelo Google, use um pool de ACs na mesma região do certificado.

Antes de criar o certificado, configure a integração do serviço de AC com o Gerenciador de certificados.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, selecione sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Armazenamento em cache de borda: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade de certificação, selecione Particular.

  9. No campo Domain Names, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  10. Em Selecionar uma configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificados que faz referência ao pool de AC de destino.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado gerenciado pelo Google com o Certificate Authority Service, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto de asterisco (*.) significa um certificado curinga.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o local Google Cloud de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Fazer upload de um certificado autogerenciado

Para fazer upload de um certificado autogerenciado, faça upload do arquivo de certificado (CRT) e do arquivo de chave privada (KEY) correspondente. É possível fazer o upload de certificados X.509 TLS (SSL) globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades de certificação (ACs, na sigla em inglês) de terceiros da sua escolha.
  • Certificados gerados por autoridades certificadoras que você controla.
  • Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, selecione sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Armazenamento em cache de borda: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado autogerenciado.

  8. No campo Certificado, faça uma das seguintes ações:

    • Clique no botão Upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, faça uma destas opções:

    • Clique no botão Upload e selecione sua chave privada. A chave privada precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

    O novo certificado aparece na lista de certificados.

gcloud

Para criar um certificado autogerenciado, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada.
  • LOCATION: o local Google Cloud de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça o upload do certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com o Media CDN e especificar vários domínios no certificado.

Atualizar um certificado

É possível atualizar um certificado sem modificar as atribuições dele para nomes de domínio no mapa de certificado correspondente. Ao atualizar um certificado, verifique se os SANs no novo certificado correspondem exatamente aos SANs no certificado atual.

Certificados gerenciados pelo Google

Para certificados gerenciados pelo Google, só é possível atualizar a descrição e os rótulos.

Console

Não é possível atualizar um certificado no console do Google Cloud. Use a Google Cloud CLI.

gcloud

Para atualizar um certificado gerenciado pelo Google, use o comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição exclusiva do certificado.
  • LABELS: uma lista separada por vírgulas de identificadores aplicados a este certificado.

API

Atualize o certificado fazendo uma solicitação PATCH para o método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição do certificado.
  • LABEL_KEY: uma chave de rótulo aplicada ao certificado.
  • LABEL_VALUE: um valor de rótulo aplicado ao certificado.

Certificados autogerenciados

Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:

  • O arquivo CRT do certificado

  • O arquivo de chave privada correspondente

Console

Não é possível atualizar um certificado no console do Google Cloud. Use a Google Cloud CLI.

gcloud

Para atualizar um certificado autogerenciado, use o comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo da chave privada KEY.
  • DESCRIPTION: um valor de descrição exclusivo para este certificado.
  • LABELS: uma lista separada por vírgulas de identificadores aplicados a este certificado.
  • LOCATION: o local Google Cloud de destino. Essa sinalização é opcional. Especifique essa flag apenas para certificados regionais.

API

Atualize o certificado fazendo uma solicitação PATCH para o método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino. Essa sinalização é opcional. Especifique essa flag apenas para certificados regionais.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • DESCRIPTION: uma descrição significativa do certificado.
  • LABEL_KEY: uma chave de rótulo aplicada ao certificado.
  • LABEL_VALUE: um valor de rótulo aplicado ao certificado.

Listar certificados

Você pode conferir todos os certificados do seu projeto e os detalhes deles, como região, nomes de host, data de validade e tipo.

Console

A página Gerenciador de certificados no console do Google Cloud pode mostrar um máximo de 10.000 certificados. Se o projeto tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados, use o comando da CLI gcloud.

Para conferir os certificados provisionados pelo Gerenciador de certificados:

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Certificados.

    Esta guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

Para conferir os certificados provisionados pelo Cloud Load Balancing:

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Certificados clássicos.

    Os certificados clássicos não são gerenciados pelo gerenciador de certificados. Para mais informações sobre como gerenciá-los, consulte:

gcloud

Para listar certificados, use o comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • LOCATION: o local Google Cloud de destino. Para listar certificados de todas as regiões, use - como o valor. O padrão é global. Essa sinalização é opcional.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, você pode filtrar os resultados pelos seguintes critérios:

    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS do SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Rótulos e horário da criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • LIMIT: o número máximo de resultados a serem retornados.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, prefixe o campo com um til (~).

API

Liste os certificados fazendo uma solicitação LIST para o método certificates.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino. Para listar certificados de todas as regiões, use - como o valor.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, você pode filtrar os resultados pelos seguintes critérios:

    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS do SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'

    • Rótulos e horário da criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, prefixe o campo com um til (~).

Conferir o estado de um certificado

É possível conferir o estado de um certificado, incluindo o estado de provisionamento e outras informações detalhadas.

Console

Se o projeto tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados, a página Gerenciador de certificados no console do Google Cloud não os listará. Em vez disso, use o comando da CLI gcloud. No entanto, se você tiver um link direto para a página Detalhes do certificado, será possível conferir os detalhes dele no console do Google Cloud.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados.

  3. Na guia Certificados, acesse o certificado de destino e clique no nome dele.

    A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  4. Opcional: para conferir a resposta REST da API Certificate Manager para este certificado, clique em REST equivalente.

  5. Opcional: se o certificado tiver uma configuração de emissão associada que você quer visualizar, clique no nome do recurso de configuração de emissão associado no campo Configuração de emissão.

    O console do Google Cloud mostra a configuração completa da emissão de certificados.

gcloud

Para conferir o status de um certificado, use o comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: o local Google Cloud de destino. O local padrão é global. Essa sinalização é opcional.

API

Confira o estado do certificado fazendo uma solicitação GET para o método certificates.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • CERTIFICATE_NAME: o nome do certificado.

Excluir um certificado

Antes de excluir um certificado, remova-o de todas as entradas de mapa de certificado que fazem referência a ele. Caso contrário, a exclusão falhará. Para mais informações, consulte Excluir uma entrada do mapa de certificados.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Para excluir um certificado, use o comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: o local Google Cloud de destino. O local padrão é global. Essa sinalização é opcional.

API

Exclua o certificado fazendo uma solicitação DELETE para o método certificates.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • CERTIFICATE_NAME: o nome do certificado.

A seguir