Gerenciar certificados

Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS) (SSL). O Gerenciador de certificados é compatível com os seguintes tipos de certificados TLS (SSL):

  • Os certificados gerenciados pelo Google são certificados que o Google Cloud recebe e gerencia para você. É possível criar os seguintes tipos de certificados gerenciados pelo Google com o Gerenciador de certificados:
    • Certificados globais
      • Certificados gerenciados pelo Google com autorização do balanceador de carga
      • Certificados gerenciados pelo Google com autorização de DNS
      • Certificados gerenciados pelo Google com o Certificate Authority Service (CA Service)
    • Certificados regionais
      • Certificados regionais gerenciados pelo Google
      • Certificados regionais gerenciados pelo Google com serviço de AC
  • Os certificados autogerenciados são aqueles que você recebe, provisiona e renova por conta própria.

Para saber mais sobre certificados, consulte Como o Gerenciador de certificados funciona.

Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos da CLI gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar um certificado gerenciado pelo Google com autorização do balanceador de carga

Para criar um certificado gerenciado pelo Google com autorização do balanceador de carga, conclua as etapas desta seção. Só é possível criar certificados gerenciados pelo Google com autorização do balanceador de carga no local global.

Para especificar vários nomes de domínio para o certificado, forneça uma lista delimitada por vírgulas de nomes de domínio de destino para o certificado.

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização do balanceador de carga.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

Terraform

Para criar um certificado gerenciado pelo Google, use um recurso google_certificate_manager_certificate com um bloco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado gerenciado pelo Google com autorização de DNS

Para criar um certificado global gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, acesse Como adicionar o registro CNAME à configuração do DNS.
  3. Conclua as etapas desta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado regional gerenciado pelo Google, consulte Criar um certificado regional gerenciado pelo Google.

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização DNS associada, ele será selecionado automaticamente. Se o nome de domínio não tiver uma autorização DNS associada, faça o seguinte:

    1. Clique em Criar autorização de DNS ausente para exibir a caixa de diálogo "Criar autorização de DNS".
    2. No campo DNS Authorization Name, especifique o nome da autorização de DNS.
    3. Clique em Criar autorização de DNS. Verifique se o nome DNS está associado ao nome de domínio.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAMES: uma lista delimitada por vírgulas dos nomes das autorizações de DNS que você criou para este certificado.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio com caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para este certificado.

Terraform

Para criar um certificado gerenciado pelo Google com autorização de DNS, você pode usar um recurso google_certificate_manager_certificate com o atributo dns_authorizations no bloco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome das autorizações de DNS que você criou para o certificado.

Para gerenciar certificados de maneira independente em vários projetos, você pode usar a autorização DNS por projeto (Pré-lançamento). Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Como criar uma autorização de DNS.

Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado gerenciado pelo Google emitido pelo CA Service

Para criar um certificado gerenciado pelo Google emitido por uma instância de serviço de AC sob seu controle, conclua as etapas nesta seção. É possível criar os certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado regional gerenciado pelo Google emitido pelo CA Service, consulte Criar um certificado regional gerenciado pelo Google emitido pelo CA Service.

Para concluir esta tarefa, é preciso ter os seguintes papéis no projeto de destino do Google Cloud:

Para mais informações sobre os comandos da CLI gcloud usados nesta seção, consulte a referência da CLI do Gerenciador de certificados.

Configurar a integração do CA Service com o Gerenciador de certificados

Se você ainda não fez isso, configure o Gerenciador de certificados para fazer a integração com o CA Service, conforme descrito nesta seção. Se uma política de emissão de certificado estiver em vigor no pool de CAs de destino, o provisionamento de certificados poderá falhar por um dos seguintes motivos:

  • A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber uma cobrança porque o certificado não foi emitido.
  • A política aplicou alterações ao certificado que não são compatíveis com o Gerenciador de certificados. Nesse caso, você ainda será cobrado porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.

Para quaisquer problemas relacionados às restrições da política de emissão, consulte a página Solução de problemas.

Para configurar a integração do CA Service com o Gerenciador de certificados, faça o seguinte:

  • Conceda ao Gerenciador de certificados a capacidade de solicitar certificados do pool de ACs de destino:
    1. Use o seguinte comando para criar uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de destino do Google Cloud.

    O comando retorna o nome da conta de serviço criada. Exemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Conceda à conta de serviço do Gerenciador de certificados o papel de Solicitante de certificado no pool de ACs de destino da seguinte maneira:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Substitua:

    • CA_POOL: o ID do pool de ACs de destino.
    • REGION: a região de destino do Google Cloud.
    • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na etapa 1

  1. Crie um recurso de configuração de emissão de certificados para o pool de AC:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Substitua:

    • ISSUANCE_CONFIG_NAME: um nome exclusivo que identifica esse recurso de configuração de emissão de certificado.
    • CA_POOL: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.
    • CERTIFICATE_LIFETIME: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D). Essa configuração é opcional.
    • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração. Essa configuração é opcional.
    • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048. Essa configuração é opcional.

    Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.

Criar um certificado gerenciado pelo Google emitido pela sua instância de serviço de AC

Crie um certificado gerenciado pelo Google emitido pela sua instância de serviço de AC da seguinte maneira:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Particular.

  10. Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC

Para criar um certificado regional gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção.

Configurar a integração do CA Service com o Gerenciador de certificados

Configure o Gerenciador de certificados para fazer a integração com o CA Service da seguinte maneira:

  1. Crie uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de destino do Google Cloud.

O comando retorna o nome da identidade de serviço criada, conforme mostrado no exemplo a seguir:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Conceda à conta de serviço do Gerenciador de certificados o papel de solicitante de certificado no pool de CAs de destino da seguinte maneira:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Substitua:

    • CA_POOL: o ID do pool de ACs de destino.
    • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.
    • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na etapa 1.

  2. Crie um recurso de configuração de emissão de certificados para o pool de AC:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Substitua:

    • ISSUANCE_CONFIG_NAME: o nome exclusivo do recurso de configuração de emissão de certificados.
    • CA_POOL: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a este recurso de configuração de emissão de certificados.
    • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.
    • CERTIFICATE_LIFETIME: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O valor padrão é de 30 dias (30D). Essa configuração é opcional.
    • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. Essa configuração é opcional. O valor padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.
    • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa configuração é opcional.
    • DESCRIPTION: uma descrição do recurso de configuração de emissão de certificados. Essa configuração é opcional.

Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.

Criar um certificado regional gerenciado pelo Google emitido pelo seu serviço de AC

Crie um certificado regional gerenciado pelo Google emitido pelo serviço de CA usando o recurso de configuração de emissão de certificados criado na etapa anterior:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.

  6. Em Local, escolha Regional.

  7. Na lista Região, selecione uma região.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Particular.

  10. Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud

Execute este comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAMES: uma lista separada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O nome de domínio precisa ser totalmente qualificado, como example.com ou www.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração da emissão de certificados e do certificado gerenciado.

Para uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado regional gerenciado pelo Google

Para criar um certificado gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, acesse Como adicionar o registro CNAME à configuração do DNS.
  3. Conclua as etapas desta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado global gerenciado pelo Google, consulte Criar um certificado gerenciado pelo Google com autorização de DNS.

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajudará você a identificar um certificado específico posteriormente.

  6. Em Local, escolha Regional.

  7. Na lista Região, selecione uma região.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira uma lista separada por vírgulas dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização DNS associada, ele será selecionado automaticamente. Se o nome de domínio não tiver uma autorização DNS associada, faça o seguinte:

    1. Clique em Criar autorização de DNS ausente para exibir a caixa de diálogo Criar autorização de DNS.
    2. No campo DNS Authorization Name, especifique o nome da autorização de DNS.
    3. Clique em Criar autorização de DNS. Verifique se o nome DNS está associado ao nome de domínio.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista.

gcloud

Execute este comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para esse certificado.
  • LOCATION: o local em que você cria o certificado gerenciado pelo Google.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio com caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para esse certificado.
  • LOCATION: o local em que você cria o certificado gerenciado pelo Google.

Fazer upload de um certificado autogerenciado

Para fazer upload de um certificado autogerenciado, conclua as etapas desta seção. É possível fazer upload de certificados TLS X.509 (SSL) globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades certificadoras (CAs) de terceiros da sua escolha
  • Certificados gerados por autoridades de certificação sob seu controle
  • Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado

É preciso fazer upload dos seguintes arquivos codificados em PEM:

  • O arquivo de certificado (.crt)
  • O arquivo de chave privada (.key) correspondente

Consulte as etapas necessárias para começar a disponibilizar o certificado no seu balanceador de carga em Visão geral da implantação.

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico posteriormente.

  6. Em Local, escolha qualquer uma das seguintes opções:

    • Global: selecione "Global" para que o certificado possa ser usado globalmente. Se você escolher "Global", no menu suspenso Escopo, selecione qualquer uma das seguintes opções:
      • Padrão: os certificados com escopo padrão são disponibilizados a partir dos principais data centers do Google.
      • Cache de borda: certificados com esse escopo são certificados especiais e são disponibilizados a partir de data centers não principais do Google.
      • Todas as regiões: os certificados são exibidos de todas as regiões.
    • Regional: selecione "Regional" para que o certificado seja usado em uma determinada região. Se você escolher "Regional", selecione uma região na lista Região.

  7. Em Tipo de certificado, escolha Criar certificado autogerenciado.

  8. No campo Certificate, faça uma das seguintes ações:

    • Clique no botão Fazer upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, realize uma das seguintes ações:

    • Clique no botão Upload e selecione sua chave privada. A chave privada precisa estar no formato PEM e não pode ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para ele.

  11. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • CERTIFICATE_FILE: caminho e nome do arquivo de certificado .crt.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada .key.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça upload do certificado fazendo uma solicitação POST para o método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: o PEM principal.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

Atualizar um certificado

Para atualizar um certificado sem modificar as atribuições dele para nomes de domínio no mapa de certificado correspondente, siga as etapas desta seção. Os SANs no novo certificado precisam corresponder exatamente aos SANs no certificado atual.

Para certificados gerenciados pelo Google, só é possível atualizar os campos description e labels. Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:

  • O arquivo de certificado (.crt)
  • O arquivo de chave privada (.key) correspondente

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • CERTIFICATE_FILE: caminho e nome do arquivo de certificado .crt.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada .key.
  • DESCRIPTION: um valor de descrição exclusivo para o certificado.
  • LABELS: uma lista separada por vírgulas de rótulos aplicados a este certificado.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Atualize o certificado fazendo uma solicitação PATCH para o método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.
  • CERTIFICATE_NAME: o nome do certificado de destino.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: o PEM principal.
  • DESCRIPTION: uma descrição significativa para o certificado.
  • LABEL_KEY: uma chave de rótulo aplicada a este certificado.
  • LABEL_VALUE: um valor de rótulo aplicado a este certificado.

Listar certificados

Para listar certificados gerenciados pelo Gerenciador de certificados, conclua as etapas nesta seção. Por exemplo, é possível realizar as seguintes consultas:

  • Listar certificados pelos nomes de domínio atribuídos
  • Listar certificados expirados

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, não será possível listá-los na página Gerenciador de certificados no console do Google Cloud. Nesses casos, use o comando da CLI gcloud para listar os certificados.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados. Essa guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

A guia Certificados clássicos lista certificados no projeto selecionado que foram provisionados diretamente pelo Cloud Load Balancing. Eles não são gerenciados pelo gerenciador de certificados. Para instruções sobre como gerenciar esses certificados, consulte um dos seguintes artigos na documentação do Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • REGION: a região de destino do Google Cloud. Para listar os certificados de todas as regiões, use - como o valor. O padrão é global. Essa configuração é opcional.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:
    • Data de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS da SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Marcadores e data/hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para ver mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados que serão retornados por página.
  • LIMIT: o número máximo de resultados a serem retornados.
  • SORT_BY: uma lista delimitada por vírgulas de campos name em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, use ~ como prefixo do campo.

API

Liste os certificados fazendo uma solicitação LIST ao método certificates.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • REGION: a região de destino do Google Cloud. Para listar os certificados de todas as regiões, use - como o valor.
  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE: o número de resultados que serão retornados por página.
  • SORT_BY: uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, inclua ~ como prefixo do campo.

Visualizar o estado de um certificado

Para ver o estado de um certificado atual, incluindo o estado de provisionamento e outras informações detalhadas, conclua as etapas nesta seção.

Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, não será possível listá-los na página Gerenciador de certificados no console do Google Cloud. Nesses casos, use o comando da CLI gcloud para listar os certificados. No entanto, se você tiver um link direto para a página Detalhes do certificado, a página Gerenciador de certificados no console do Google Cloud poderá exibir esses detalhes.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Na guia Certificados, acesse o certificado de destino e clique no nome dele.

A página Detalhes do certificado exibe informações detalhadas sobre o certificado selecionado.

  1. Opcional: para ver a resposta REST da API Certificate Manager referente a esse certificado, clique em REST equivalente.

  2. Opcional: se você quiser visualizar uma configuração de emissão de certificado associada ao certificado, clique no nome da configuração de emissão no campo Configuração de emissão.

    O console do Google Cloud exibe a configuração completa da configuração de emissão de certificados.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Visualize o estado do certificado fazendo uma solicitação GET ao método certificates.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

Excluir um certificado

Para excluir um certificado do Gerenciador de certificados, conclua as etapas nesta seção. Antes de excluir um certificado, remova-o de todas as entradas do mapa de certificado que fazem referência a ele. Caso contrário, a exclusão falhará.

Para concluir esta tarefa, é preciso ter o papel de proprietário do gerenciador de certificados no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Exclua o certificado fazendo uma solicitação DELETE ao método certificates.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

A seguir