Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS) (SSL). O Gerenciador de certificados é compatível com os seguintes tipos de certificados TLS (SSL):
- Os certificados gerenciados pelo Google são certificados que o Google Cloud
recebe e gerencia para você. É possível criar os seguintes tipos de certificados gerenciados pelo Google com o Gerenciador de certificados:
- Certificados globais
- Certificados gerenciados pelo Google com autorização do balanceador de carga
- Certificados gerenciados pelo Google com autorização de DNS
- Certificados gerenciados pelo Google com o Certificate Authority Service (CA Service)
- Certificados regionais
- Certificados regionais gerenciados pelo Google
- Certificados regionais gerenciados pelo Google com serviço de AC
- Certificados globais
- Os certificados autogerenciados são aqueles que você recebe, provisiona e renova por conta própria.
Para saber mais sobre certificados, consulte Como o Gerenciador de certificados funciona.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos da CLI gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.
Criar um certificado gerenciado pelo Google com autorização do balanceador de carga
Para criar um certificado gerenciado pelo Google com autorização do balanceador de carga,
conclua as etapas desta seção. Só é possível criar certificados gerenciados pelo Google com autorização do balanceador de carga no local global
.
Para especificar vários nomes de domínio para o certificado, forneça uma lista delimitada por vírgulas de nomes de domínio de destino para o certificado.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.
Em Local, escolha Global.
Em Escopo, escolha Padrão.
Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, escolha Pública.
Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com
.Em Tipo de autorização, escolha Autorização do balanceador de carga.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.
Terraform
Para criar um certificado gerenciado pelo Google, use um
recurso google_certificate_manager_certificate
com um bloco managed
.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o certificado fazendo uma solicitação POST
ao método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.
Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado gerenciado pelo Google com autorização de DNS
Para criar um certificado global gerenciado pelo Google com autorização de DNS, faça o seguinte:
- Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
- Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, acesse Como adicionar o registro CNAME à configuração do DNS.
- Conclua as etapas desta seção.
É possível criar certificados regional
e global
gerenciados pelo Google.
Para informações sobre como criar um certificado regional
gerenciado pelo Google, consulte
Criar um certificado regional gerenciado pelo Google.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.
Em Local, escolha Global.
Em Escopo, escolha Padrão.
Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, escolha Pública.
Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com
.Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização DNS associada, ele será selecionado automaticamente. Se o nome de domínio não tiver uma autorização DNS associada, faça o seguinte:
- Clique em Criar autorização de DNS ausente para exibir a caixa de diálogo "Criar autorização de DNS".
- No campo DNS Authorization Name, especifique o nome da autorização de DNS.
- Clique em Criar autorização de DNS. Verifique se o nome DNS está associado ao nome de domínio.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --dns-authorizations="AUTHORIZATION_NAMES"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAMES
: uma lista delimitada por vírgulas dos nomes das autorizações de DNS que você criou para este certificado.
Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio com caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino deste certificado. O prefixo de ponto de asterisco (*.
) indica um certificado com caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para este certificado.
Terraform
Para criar um certificado gerenciado pelo Google com autorização de DNS, você pode usar um recurso google_certificate_manager_certificate
com o atributo dns_authorizations
no bloco managed
.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o certificado fazendo uma solicitação POST
ao método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino deste certificado. O prefixo de ponto de asterisco (*.
) indica um certificado com caractere curinga. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome das autorizações de DNS que você criou para o certificado.
Para gerenciar certificados de maneira independente em vários projetos, você pode usar a autorização DNS por projeto (Pré-lançamento). Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Como criar uma autorização de DNS.
Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado gerenciado pelo Google emitido pelo CA Service
Para criar um certificado gerenciado pelo Google emitido por uma instância de serviço de AC sob seu controle, conclua as etapas nesta seção. É possível criar
os certificados regional
e global
gerenciados pelo Google. Para informações sobre como criar um certificado regional gerenciado pelo Google emitido pelo CA Service, consulte Criar um certificado regional gerenciado pelo Google emitido pelo CA Service.
Para concluir esta tarefa, é preciso ter os seguintes papéis no projeto de destino do Google Cloud:
Para mais informações sobre os comandos da CLI gcloud usados nesta seção, consulte a referência da CLI do Gerenciador de certificados.
Configurar a integração do CA Service com o Gerenciador de certificados
Se você ainda não fez isso, configure o Gerenciador de certificados para fazer a integração com o CA Service, conforme descrito nesta seção. Se uma política de emissão de certificado estiver em vigor no pool de CAs de destino, o provisionamento de certificados poderá falhar por um dos seguintes motivos:
- A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber uma cobrança porque o certificado não foi emitido.
- A política aplicou alterações ao certificado que não são compatíveis com o Gerenciador de certificados. Nesse caso, você ainda será cobrado porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.
Para quaisquer problemas relacionados às restrições da política de emissão, consulte a página Solução de problemas.
Para configurar a integração do CA Service com o Gerenciador de certificados, faça o seguinte:
- Ative a API CA Service.
- Criar um pool de CA.
- Crie uma AC e ative-a no pool de ACs que você criou na etapa anterior.
- Conceda ao Gerenciador de certificados a capacidade de solicitar certificados
do pool de ACs de destino:
- Use o seguinte comando para criar uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Substitua
PROJECT_ID
pelo ID do projeto de destino do Google Cloud.O comando retorna o nome da conta de serviço criada. Exemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
- Conceda à conta de serviço do Gerenciador de certificados o papel de Solicitante de certificado no pool de ACs de destino da seguinte maneira:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Substitua:
CA_POOL
: o ID do pool de ACs de destino.REGION
: a região de destino do Google Cloud.SERVICE_ACCOUNT
: o nome completo da conta de serviço que você criou na etapa 1
Crie um recurso de configuração de emissão de certificados para o pool de AC:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Substitua:
ISSUANCE_CONFIG_NAME
: um nome exclusivo que identifica esse recurso de configuração de emissão de certificado.CA_POOL
: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.CERTIFICATE_LIFETIME
: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D
). Essa configuração é opcional.ROTATION_WINDOW_PERCENTAGE
: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração. Essa configuração é opcional.KEY_ALGORITHM
: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O padrão érsa-2048
. Essa configuração é opcional.
Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.
Criar um certificado gerenciado pelo Google emitido pela sua instância de serviço de AC
Crie um certificado gerenciado pelo Google emitido pela sua instância de serviço de AC da seguinte maneira:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.
Em Local, escolha Global.
Em Escopo, escolha Padrão.
Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, escolha Particular.
Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com
.Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
API
Crie o certificado fazendo uma solicitação POST
ao método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": ["ISSUANCE_CONFIG_NAME"], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC
Para criar um certificado regional gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção.
Configurar a integração do CA Service com o Gerenciador de certificados
Configure o Gerenciador de certificados para fazer a integração com o CA Service da seguinte maneira:
Crie uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Substitua
PROJECT_ID
pelo ID do projeto de destino do Google Cloud.
O comando retorna o nome da identidade de serviço criada, conforme mostrado no exemplo a seguir:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Conceda à conta de serviço do Gerenciador de certificados o papel de solicitante de certificado no pool de CAs de destino da seguinte maneira:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Substitua:
CA_POOL
: o ID do pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.SERVICE_ACCOUNT
: o nome completo da conta de serviço que você criou na etapa 1.
Crie um recurso de configuração de emissão de certificados para o pool de AC:
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \
Substitua:
ISSUANCE_CONFIG_NAME
: o nome exclusivo do recurso de configuração de emissão de certificados.CA_POOL
: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a este recurso de configuração de emissão de certificados.LOCATION
: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.CERTIFICATE_LIFETIME
: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O valor padrão é de 30 dias (30D
). Essa configuração é opcional.ROTATION_WINDOW_PERCENTAGE
: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. Essa configuração é opcional. O valor padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.KEY_ALGORITHM
: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O valor padrão érsa-2048
. Essa configuração é opcional.DESCRIPTION
: uma descrição do recurso de configuração de emissão de certificados. Essa configuração é opcional.
Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.
Criar um certificado regional gerenciado pelo Google emitido pelo seu serviço de AC
Crie um certificado regional gerenciado pelo Google emitido pelo serviço de CA usando o recurso de configuração de emissão de certificados criado na etapa anterior:
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.
Em Local, escolha Regional.
Na lista Região, selecione uma região.
Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, escolha Particular.
Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com
.Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista.
gcloud
Execute este comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAMES
: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.
API
Crie o certificado fazendo uma solicitação POST
ao método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates? { certificate: { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, comoexample.com
ouwww.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.
Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado regional gerenciado pelo Google
Para criar um certificado gerenciado pelo Google com autorização de DNS, faça o seguinte:
- Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
- Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, acesse Como adicionar o registro CNAME à configuração do DNS.
- Conclua as etapas desta seção.
É possível criar certificados regional
e global
gerenciados pelo Google.
Para informações sobre como criar um certificado global
gerenciado pelo Google, consulte Criar um certificado gerenciado pelo Google com autorização de DNS.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.
Em Local, escolha Regional.
Na lista Região, selecione uma região.
Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.
Em Tipo de autoridade de certificação, escolha Pública.
Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como
myorg.example.com
.Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização DNS associada, ele será selecionado automaticamente. Se o nome de domínio não tiver uma autorização DNS associada, faça o seguinte:
- Clique em Criar autorização de DNS ausente para exibir a caixa de diálogo Criar autorização de DNS.
- No campo DNS Authorization Name, especifique o nome da autorização de DNS.
- Clique em Criar autorização de DNS. Verifique se o nome DNS está associado ao nome de domínio.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista.
gcloud
Execute este comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para esse certificado.LOCATION
: o local em que você cria o certificado gerenciado pelo Google.
Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio com caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino do certificado. O prefixo de ponto de asterisco (*.
) indica um certificado com caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para esse certificado.LOCATION
: o local em que você cria o certificado gerenciado pelo Google.
Fazer upload de um certificado autogerenciado
Para fazer upload de um certificado autogerenciado, conclua as etapas desta seção. É possível fazer upload de certificados TLS X.509 (SSL) globais e regionais dos seguintes tipos:
- Certificados gerados por autoridades certificadoras (CAs) de terceiros da sua escolha
- Certificados gerados por autoridades de certificação sob seu controle
- Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
É preciso fazer upload dos seguintes arquivos codificados em PEM:
- O arquivo de certificado (
.crt
) - O arquivo de chave privada (
.key
) correspondente
Consulte as etapas necessárias para começar a disponibilizar o certificado no seu balanceador de carga em Visão geral da implantação.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Clique em Adicionar certificado.
Digite um Nome para o certificado.
O nome precisa ser exclusivo no projeto.
Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico posteriormente.
Em Local, escolha qualquer uma das seguintes opções:
- Global: selecione "Global" para que o certificado possa ser usado globalmente. Se você escolher "Global", no menu suspenso
Escopo, selecione qualquer uma das seguintes opções:
- Padrão: os certificados com escopo padrão são disponibilizados a partir dos principais data centers do Google.
- Cache de borda: certificados com esse escopo são certificados especiais e são disponibilizados a partir de data centers não principais do Google.
- Todas as regiões: os certificados são exibidos de todas as regiões.
- Regional: selecione "Regional" para que o certificado seja usado em uma determinada região. Se você escolher "Regional", selecione uma região na lista Região.
- Global: selecione "Global" para que o certificado possa ser usado globalmente. Se você escolher "Global", no menu suspenso
Escopo, selecione qualquer uma das seguintes opções:
Em Tipo de certificado, escolha Criar certificado autogerenciado.
No campo Certificate, faça uma das seguintes ações:
- Clique no botão Fazer upload e selecione o arquivo de certificado no formato PEM.
- Copie e cole o conteúdo de um certificado no formato PEM. O
conteúdo precisa começar com
-----BEGIN CERTIFICATE-----
e terminar com-----END CERTIFICATE-----
.
No campo Certificado de chave privada, realize uma das seguintes ações:
- Clique no botão Upload e selecione sua chave privada. A chave privada precisa estar no formato PEM e não pode ser protegida por uma senha longa.
- Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com
-----BEGIN PRIVATE KEY-----
e terminar com-----END PRIVATE KEY-----
.
Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão add_box Adicionar rótulo e especifique um
key
e umvalue
para ele.Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.CERTIFICATE_FILE
: caminho e nome do arquivo de certificado.crt
.PRIVATE_KEY_FILE
: o caminho e o nome do arquivo de chave privada.key
.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
Terraform
Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate
com o bloco self_managed
.
API
Faça upload do certificado fazendo uma solicitação POST
para o método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.PEM_CERTIFICATE
: o certificado PEM.PEM_KEY
: o PEM principal.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
Atualizar um certificado
Para atualizar um certificado sem modificar as atribuições dele para nomes de domínio no mapa de certificado correspondente, siga as etapas desta seção. Os SANs no novo certificado precisam corresponder exatamente aos SANs no certificado atual.
Para certificados gerenciados pelo Google, só é possível atualizar os campos description
e labels
. Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:
- O arquivo de certificado (
.crt
) - O arquivo de chave privada (
.key
) correspondente
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.CERTIFICATE_FILE
: caminho e nome do arquivo de certificado.crt
.PRIVATE_KEY_FILE
: o caminho e o nome do arquivo de chave privada.key
.DESCRIPTION
: um valor de descrição exclusivo para o certificado.LABELS
: uma lista separada por vírgulas de rótulos aplicados a este certificado.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Atualize o certificado fazendo uma solicitação PATCH
para o método certificates.patch
da seguinte maneira:
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.CERTIFICATE_NAME
: o nome do certificado de destino.PEM_CERTIFICATE
: o certificado PEM.PEM_KEY
: o PEM principal.DESCRIPTION
: uma descrição significativa para o certificado.LABEL_KEY
: uma chave de rótulo aplicada a este certificado.LABEL_VALUE
: um valor de rótulo aplicado a este certificado.
Listar certificados
Para listar certificados gerenciados pelo Gerenciador de certificados, conclua as etapas nesta seção. Por exemplo, é possível realizar as seguintes consultas:
- Listar certificados pelos nomes de domínio atribuídos
- Listar certificados expirados
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, não será possível listá-los na página Gerenciador de certificados no console do Google Cloud. Nesses casos, use o comando da CLI gcloud para listar os certificados.
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados. Essa guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
A guia Certificados clássicos lista certificados no projeto selecionado que foram provisionados diretamente pelo Cloud Load Balancing. Eles não são gerenciados pelo gerenciador de certificados. Para instruções sobre como gerenciar esses certificados, consulte um dos seguintes artigos na documentação do Cloud Load Balancing:
gcloud
gcloud certificate-manager certificates list \ [--location="REGION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
REGION
: a região de destino do Google Cloud. Para listar os certificados de todas as regiões, use-
como o valor. O padrão églobal
. Essa configuração é opcional.FILTER
: uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Data de validade:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nomes DNS da SAN:
--filter='san_dnsnames:"example.com"'
- Estado do certificado:
--filter='managed.state=FAILED'
- Tipo de certificado:
--filter='managed:*'
- Marcadores e data/hora de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Data de validade:
Para ver mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
PAGE_SIZE
: o número de resultados que serão retornados por página.LIMIT
: o número máximo de resultados a serem retornados.SORT_BY
: uma lista delimitada por vírgulas de camposname
em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, use~
como prefixo do campo.
API
Liste os certificados fazendo uma solicitação LIST
ao método certificates.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
REGION
: a região de destino do Google Cloud. Para listar os certificados de todas as regiões, use-
como o valor.PROJECT_ID
: o ID do projeto de destino do Google Cloud.FILTER
: uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
: o número de resultados que serão retornados por página.SORT_BY
: uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, inclua~
como prefixo do campo.
Visualizar o estado de um certificado
Para ver o estado de um certificado atual, incluindo o estado de provisionamento e outras informações detalhadas, conclua as etapas nesta seção.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, não será possível listá-los na página Gerenciador de certificados no console do Google Cloud. Nesses casos, use o comando da CLI gcloud para listar os certificados. No entanto, se você tiver um link direto para a página Detalhes do certificado, a página Gerenciador de certificados no console do Google Cloud poderá exibir esses detalhes.
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Na guia Certificados, acesse o certificado de destino e clique no nome dele.
A página Detalhes do certificado exibe informações detalhadas sobre o certificado selecionado.
Opcional: para ver a resposta REST da API Certificate Manager referente a esse certificado, clique em REST equivalente.
Opcional: se você quiser visualizar uma configuração de emissão de certificado associada ao certificado, clique no nome da configuração de emissão no campo Configuração de emissão.
O console do Google Cloud exibe a configuração completa da configuração de emissão de certificados.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Visualize o estado do certificado fazendo uma solicitação GET
ao método certificates.get
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud.CERTIFICATE_NAME
: o nome do certificado de destino.
Excluir um certificado
Para excluir um certificado do Gerenciador de certificados, conclua as etapas nesta seção. Antes de excluir um certificado, remova-o de todas as entradas do mapa de certificado que fazem referência a ele. Caso contrário, a exclusão falhará.
Para concluir esta tarefa, é preciso ter o papel de proprietário do gerenciador de certificados no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.
Clique em Excluir.
Na caixa de diálogo exibida, clique em Excluir para confirmar.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Exclua o certificado fazendo uma solicitação DELETE
ao método certificates.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud.CERTIFICATE_NAME
: o nome do certificado de destino.
A seguir
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS
- Gerenciar a configuração da emissão de certificados