Gerenciar certificados

Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS) (SSL). O Gerenciador de certificados oferece suporte aos seguintes tipos de certificados TLS (SSL):

  • Os certificados gerenciados pelo Google são aqueles que o Google Cloud recebe e gerencia para você. É possível criar os seguintes tipos de certificados gerenciados pelo Google com o Gerenciador de certificados:
    • Certificados globais
      • Certificados gerenciados pelo Google com autorização do balanceador de carga
      • Certificados gerenciados pelo Google com autorização de DNS
      • Certificados gerenciados pelo Google com o Certificate Authority Service (CA Service)
    • Certificados regionais
      • Certificados regionais gerenciados pelo Google
      • Certificados regionais gerenciados pelo Google com serviço de AC
  • Certificados autogerenciados são certificados que você recebe, provisiona e renova.

Para mais informações sobre certificados, consulte Como o Gerenciador de certificados funciona

Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.

Para mais informações sobre os comandos da CLI gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar um certificado gerenciado pelo Google com autorização do balanceador de carga

Para criar um certificado gerenciado pelo Google com autorização do balanceador de carga, conclua as etapas desta seção. Só é possível criar contas gerenciadas pelo Google certificados com autorização do balanceador de carga no local global.

Para especificar vários nomes de domínio para o certificado, forneça uma lista de nomes de domínio de destino delimitada por vírgulas para o certificado.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico mais tarde.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira um valor delimitado por vírgulas lista dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização do balanceador de carga.

  12. Especifique um rótulo para associar ao certificado. Você pode adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve isso certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas do destino. domínios neste certificado. Cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.

Terraform

Para criar um certificado gerenciado pelo Google, você pode usar uma Recurso google_certificate_manager_certificate com um bloco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve esse certificado.
  • DOMAIN_NAME: o domínio de destino para isso. certificado. O nome de domínio deve ser um nome de domínio totalmente qualificado, como como myorg.example.com.

Para ter uma visão geral do processo de implantação de certificados, consulte Visão geral da implantação.

Criar um certificado gerenciado pelo Google com autorização de DNS

Para criar um certificado global gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, consulte Adicionar o registro CNAME à configuração do DNS.
  3. Siga as etapas desta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para saber como criar um certificado gerenciado pelo Google regional, consulte Criar um certificado regional gerenciado pelo Google.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico mais tarde.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira um valor delimitado por vírgulas lista dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização de DNS associada, ele será detectado automaticamente. Se o nome de domínio não tiver uma autorização de DNS associada, faça o seguinte:

    1. Clique em Criar autorização DNS ausente para exibir a opção Caixa de diálogo de autorização.
    2. No campo DNS Authorization Name, especifique o nome da autorização de DNS.
    3. Clique em Criar autorização de DNS. Verifique se o nome DNS é associado ao nome de domínio.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve isso certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino deste certificado. Cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.
  • AUTHORIZATION_NAMES: uma lista delimitada por vírgulas de nomes das autorizações de DNS que você criou para o certificado.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve isso certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome do DNS. autorização que você criou para este certificado.

Terraform

Para criar um certificado gerenciado pelo Google com autorização de DNS, você pode usar um recurso google_certificate_manager_certificate com o atributo dns_authorizations no bloco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve esse certificado.
  • DOMAIN_NAME: o domínio de destino para isso. certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome do DNS. autorizações que você criou para este certificado.

Para gerenciar certificados de forma independente em vários projetos, você pode usar autorização de DNS por projeto. Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Como criar uma autorização de DNS.

Para ter uma visão geral do processo de implantação de certificados, consulte Visão geral da implantação.

Criar um certificado gerenciado pelo Google emitido pelo CA Service

Para criar um certificado gerenciado pelo Google emitido por um serviço de AC: sob seu controle, conclua as etapas nesta seção. É possível criar certificados gerenciados pelo Google regional e global. Para saber como criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC, consulte Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC.

Para concluir esta tarefa, é preciso ter os seguintes papéis no destino Projeto do Google Cloud:

Para mais informações sobre os comandos da CLI gcloud usados nesta seção, consulte a referência da CLI do Certificate Manager.

Configurar a integração do serviço de AC com o Certificate Manager

Se você ainda não tiver feito isso, configure Gerenciador de certificados para integração com o CA Service conforme descrito nesta seção. Se uma política de emissão de certificado estiver em vigor no pool de AC de destino, o provisionamento pode falhar por um dos seguintes motivos:

  • A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber cobranças porque o certificado não foi emitido.
  • A política aplicou mudanças ao certificado que não têm suporte do Gerenciador de certificados. Nesse caso, você ainda vai receber uma cobrança porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.

Em caso de problemas relacionados às restrições da política de emissão, consulte a Solução de problemas página.

Para configurar a integração do CA Service com o Gerenciador de certificados, faça o seguinte:

  1. Permitir que o gerenciador de certificados solicite certificados do pool de ACs de destino:

    1. Use o comando a seguir para criar uma conta de serviço do Gerenciador de certificados no projeto do Google Cloud de destino:

      gcloud beta services identity create --service=certificatemanager.googleapis.com \
  --project=PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto do Google Cloud de destino.

      O comando retorna o nome da conta de serviço criada. Exemplo:

      service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    2. Conceda à conta de serviço do Gerenciador de certificados o papel de Solicitante de certificado no pool de CAs de destino da seguinte maneira:

      gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

      Substitua:

      • CA_POOL: o ID do pool de ACs de destino.
      • REGION: a região de destino do Google Cloud
      • SERVICE_ACCOUNT: o nome completo do serviço conta que você criou na etapa 1

  2. Crie um recurso de configuração de emissão de certificados para o pool de AC:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Issuance Configs, clique em Create.

  3. No campo Nome, insira um nome exclusivo para a configuração de emissão de certificados.

  4. Em Local, selecione Global.

  5. Opcional: no campo Descrição, digite uma descrição para a configuração de emissão.

  6. No campo Ciclo de vida, especifique a vida útil do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  7. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começar. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.

  8. Na lista Algoritmo de chave, selecione o algoritmo que será usado ao gerar a chave privada.

  9. Na lista Pool de CAs, selecione o nome do pool de CAs que será atribuído a esta configuração de emissão de certificados.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique um key e um value para o rótulo.

  11. Clique em Criar.

gcloud 

 gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

Substitua:

  • ISSUANCE_CONFIG_NAME: um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho completo do recurso e o nome da AC. pool que você quer atribuir a este recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: a validade do certificado em dias. Os valores válidos vão de 21 a 30 dias na duração padrão formato. O padrão é de 30 dias (30D). Essa configuração é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado quando a renovação dele é acionada. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação. Essa configuração é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048. Essa configuração é opcional.

Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração da emissão de certificados.

Criar um certificado gerenciado pelo Google emitido pela sua instância de serviço de AC

Crie um certificado gerenciado pelo Google emitido pela instância do serviço de AC da seguinte maneira:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico mais tarde.

  6. Em Local, escolha Global.

  7. Em Escopo, escolha Padrão.

  8. Em Tipo de certificado, escolha Criar um certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Particular.

  10. Especifique os Nomes de domínio do certificado. Insira um valor delimitado por vírgulas lista dos domínios de destino. Além disso, cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.

  11. Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

    Para criar uma configuração de emissão, clique em Adicionar configuração de emissão de certificados, especifique os seguintes detalhes e clique em Criar.

    • Nome: um nome exclusivo para a configuração de emissão de certificados.
    • Descrição: uma descrição para a configuração de emissão.
    • Ciclo de vida: o ciclo de vida do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).
    • Porcentagem de janela de rotação: a porcentagem do ciclo de vida do certificado em que a renovação dele é acionada. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.
    • Algoritmo de chave: o algoritmo de chave a ser usado ao gerar a chave privada.
    • Pool de AC: o nome do pool de AC que será atribuído a essa configuração de emissão de certificados.
    • Rótulo: rótulos para associar à configuração de emissão de certificados.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve isso certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino deste certificado. Cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do certificado. recurso de configuração de emissão que faz referência ao pool de ACs de destino.

API

Crie o certificado fazendo uma solicitação POST ao certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve esse certificado.
  • DOMAIN_NAME: o domínio de destino para isso. certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do certificado. recurso de configuração de emissão que faz referência ao pool de ACs de destino.

Para ter uma visão geral do processo de implantação de certificados, consulte Visão geral da implantação.

Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC

Para criar um certificado regional gerenciado pelo Google emitido por uma CA Service sob seu controle, conclua as etapas nesta seção.

Configurar a integração do CA Service com o Gerenciador de certificados

Configurar o Gerenciador de certificados para integração CA Service da seguinte forma:

  1. Crie uma conta de serviço do Gerenciador de certificados no destino Projeto do Google Cloud:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto do Google Cloud de destino.

    O comando retorna o nome da identidade de serviço criada, conforme mostrado no exemplo a seguir:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  2. Conceda o certificado à conta de serviço do Gerenciador de certificados Papel de solicitante no pool de ACs de destino da seguinte maneira:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Substitua:

    • CA_POOL: o ID do pool de AC de destino.
    • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração de emissão de certificados e do certificado gerenciado.
    • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na primeira etapa.

  3. Crie um recurso de configuração de emissão de certificados para o pool de AC:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Issuance Configs, clique em Create.

  3. No campo Nome, digite um nome exclusivo para a configuração de emissão de certificados.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.

  5. Em Local, selecione Regional.

  6. Na lista Região, selecione a região.

  7. No campo Vida útil, especifique a vida útil do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  8. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começar. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.

  9. Na lista Algoritmo de chave, selecione o algoritmo que será usado ao gerar a chave privada.

  10. Na lista Pool de CAs, selecione o nome do pool de CAs que será atribuído a esta configuração de emissão de certificados.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique um key e um value para o rótulo.

  12. Clique em Criar.

gcloud 

gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome exclusivo do recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a este recurso de configuração de emissão de certificados.
  • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração de emissão de certificados e do certificado gerenciado.
  • CERTIFICATE_LIFETIME: a validade do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O valor padrão é 30 dias (30D). Isso é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado quando o processo de renovação dele começa. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa configuração é opcional.
  • DESCRIPTION: uma descrição do recurso de configuração de emissão de certificados. Essa configuração é opcional.

Para mais informações sobre recursos de configuração para emissão de certificados, consulte Gerenciar a configuração da emissão de certificados.

Criar um certificado regional gerenciado pelo Google emitido pelo seu serviço de AC

Crie um certificado gerenciado pelo Google regional emitido pelo seu serviço de AC usando o recurso de configuração de emissão de certificados criado na etapa anterior:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. Descrição ajuda a identificar um certificado específico posteriormente.

  6. Em Local, escolha Regional.

  7. Na lista Região, selecione uma região.

  8. Em Tipo de certificado, escolha Criar certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Particular.

  10. Especifique os Nomes de domínio do certificado. Insira um valor delimitado por vírgulas lista dos domínios de destino. Além disso, cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.

  11. Em Configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

    Para criar uma configuração de emissão, clique em Adicionar configuração de emissão de certificados, especifique os seguintes detalhes e clique em Criar.

    • Nome: um nome exclusivo para a configuração de emissão de certificados.
    • Descrição: uma descrição para a configuração de emissão.
    • Ciclo de vida: o ciclo de vida do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).
    • Porcentagem da janela de rotação: a porcentagem do ciclo de vida do certificado quando o processo de renovação dele começa. Para encontrar o intervalo de valores válidos, consulte Percentual da janela de vida útil e rotação.
    • Algoritmo de chave: o algoritmo de chave a ser usado ao gerar a chave privada.
    • Pool de AC: o nome do pool de AC que será atribuído a essa configuração de emissão de certificados.
    • Rótulo: rótulos para associar à configuração de emissão de certificados.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud

Execute este comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino deste certificado. Cada nome de domínio deve ser um domínio nome de domínio, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. É necessário especificar o mesmo local do pool de ACs, do recurso de configuração de emissão de certificados e do certificado gerenciado.

API

Crie o certificado fazendo uma solicitação POST ao certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino deste certificado. O nome de domínio deve ser um nome de domínio totalmente qualificado, como example.com (www.example.com).
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. Você especificar o mesmo local do pool de ACs, da emissão de certificados recurso de configuração e certificado gerenciado.

Para ter uma visão geral do processo de implantação de certificados, consulte Visão geral da implantação.

Criar um certificado regional gerenciado pelo Google

Para criar um certificado gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona DNS do domínio de destino. Para instruções, consulte Adicionar o registro CNAME à configuração do DNS.
  3. Conclua as etapas desta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado global gerenciado pelo Google, consulte Crie um certificado gerenciado pelo Google com autorização de DNS.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. Descrição ajuda a identificar um certificado específico posteriormente.

  6. Em Local, escolha Regional.

  7. Na lista Região, selecione uma região.

  8. Em Tipo de certificado, escolha Criar certificado gerenciado pelo Google.

  9. Em Tipo de autoridade de certificação, escolha Pública.

  10. Especifique os Nomes de domínio do certificado. Insira um valor delimitado por vírgulas lista dos domínios de destino. Além disso, cada nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.

  11. Em Tipo de autorização, escolha Autorização de DNS. Se o nome de domínio tiver uma autorização de DNS associada, ele será detectado automaticamente. Se o nome de domínio não tiver uma autorização DNS associada, faça o seguinte:

    1. Clique em Criar autorização de DNS ausente para exibir os Caixa de diálogo Criar autorização de DNS.
    2. No campo DNS Authorization Name, especifique a autorização de DNS nome.
    3. Clique em Criar autorização de DNS. Verifique se o nome DNS está associado ao nome de domínio.

  12. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um marcador, clique no Adicionar rótulo e especifique um key e um value para o rótulo.

  13. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud

Execute este comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS criada para este certificado.
  • LOCATION: o local onde você cria o Certificado gerenciado pelo Google.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O prefixo de ponto de asterisco (*.) indica um certificado com caractere curinga. O nome de domínio deve ser um nome de domínio totalmente qualificado, como myorg.example.com:
  • AUTHORIZATION_NAME: o nome da autorização de DNS. que você criou para este certificado.
  • LOCATION: o local onde você cria o Certificado gerenciado pelo Google.

Fazer upload de um certificado autogerenciado

Para fazer upload de um certificado autogerenciado, siga as etapas desta seção. É possível fazer o upload de certificados X.509 TLS (SSL) globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades de certificação (ACs) de terceiros da sua escolha
  • Certificados gerados por autoridades certificadoras sob seu controle
  • certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado

Você precisa fazer upload dos seguintes arquivos codificados em PEM:

  • O arquivo de certificado (.crt)
  • O arquivo de chave privada correspondente (.key)

Consulte a Visão geral da implantação. e confira as etapas necessárias para começar a disponibilizar o certificado no seu balanceador de carga.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados.

  3. Clique em Adicionar certificado.

  4. Digite um Nome para o certificado.

    O nome precisa ser exclusivo no projeto.

  5. Opcional: digite a Descrição do certificado. A descrição ajuda a identificar um certificado específico mais tarde.

  6. Em Local, escolha qualquer uma das seguintes opções:

    • Global: selecione "Global" para que o certificado possa ser usado em todo o mundo. Se você escolher "Global", no menu suspenso Escopo, selecione qualquer uma das seguintes opções:
      • Padrão: os certificados com escopo padrão são transmitidos de nos principais data centers do Google.
      • Cache de borda: os certificados com esse escopo são especiais e são disponibilizados a partir de data centers não principais do Google.
      • Todas as regiões: os certificados são exibidos de todas as regiões.
    • Regional: selecione "Regional" para que o certificado possa ser usado em uma determinada região. Se você escolher "Regional", selecione uma região na lista Região.

  7. Em Tipo de certificado, escolha Criar certificado autogerenciado.

  8. No campo Certificate, faça uma das seguintes ações:

    • Clique no botão Fazer upload e selecione o formato PEM arquivo de certificado.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, realize uma das seguintes ações:

    • Clique no botão Upload e selecione sua chave privada. Ela precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. O chaves privadas devem começar com -----BEGIN PRIVATE KEY----- terminam com -----END PRIVATE KEY-----.

  10. Especifique um rótulo para associar ao certificado. É possível adicionar mais de um rótulo, se necessário. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para o rótulo.

  11. Clique em Criar. Verifique se o novo certificado aparece na lista de certificados.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve esse certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo do certificado .crt.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo da chave privada .key.
  • REGION: o Google Cloud de destino. na mesma região. O padrão é global. Essa configuração é opcional.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça upload do certificado fazendo uma solicitação POST ao certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_NAME: um nome exclusivo que descreve isso certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: o PEM principal.
  • REGION: o Google Cloud de destino. na mesma região. O padrão é global. Essa configuração é opcional.

Atualizar um certificado

Para atualizar um certificado sem modificar as atribuições a nomes de domínio no mapa de certificado correspondente, siga as etapas desta seção. Os SANs no novo certificado precisam corresponder exatamente aos SANs no certificado existente.

Para certificados gerenciados pelo Google, só é possível atualizar os description e labels. Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:

  • O arquivo de certificado (.crt)
  • O arquivo de chave privada (.key) correspondente

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • CERTIFICATE_FILE: o caminho e o nome de arquivo do .crt. arquivo de certificado.
  • PRIVATE_KEY_FILE: o caminho e o nome de arquivo do .key. de chave privada do Google.
  • DESCRIPTION: um valor de descrição exclusivo para este certificado.
  • LABELS: uma lista separada por vírgulas de identificadores aplicados a este certificado.
  • REGION: o Google Cloud de destino. na mesma região. O padrão é global. Essa configuração é opcional.

API

Atualize o certificado fazendo uma solicitação PATCH para o método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do destino. projeto do Google Cloud.
  • REGION: o Google Cloud de destino. na mesma região. O padrão é global. Essa configuração é opcional.
  • CERTIFICATE_NAME: o nome do certificado de destino.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • DESCRIPTION: uma descrição significativa para este item. certificado.
  • LABEL_KEY: uma chave de rótulo aplicada a este certificado.
  • LABEL_VALUE: um valor de rótulo aplicado a este certificado.

Listar certificados

Para listar os certificados gerenciados pelo Gerenciador de certificados, conclua o nesta seção. Por exemplo, é possível realizar as seguintes consultas:

  • Listar certificados pelos nomes de domínio atribuídos
  • Listar certificados expirados

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, pela página Gerenciador de certificados (em inglês) do o console do Google Cloud não pode listá-los. Nesses casos, use o comando da CLI gcloud para listar seus certificados.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados. Essa guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

A guia Certificados clássicos lista os certificados no projeto selecionado que foram provisionados diretamente pelo Cloud Load Balancing. Esses os certificados não são gerenciados pelo Gerenciador de certificados. Para instruções sobre como gerenciar esses certificados, consulte uma das artigos na documentação do Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • REGION: a região de destino do Google Cloud. para listar certificados de todas as regiões, use - como o valor. O padrão é global. Essa configuração é opcional.
  • FILTER: uma expressão que restringe o resultados a valores específicos. Por exemplo, é possível filtrar os resultados pelo seguintes critérios:
    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS do SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Rótulos e horário da criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para mais exemplos de filtragem que você pode usar com Gerenciador de certificados, consulte Como classificar e filtrar a lista resultados na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados que serão retornados por página.
  • LIMIT: o número máximo de resultados a serem retornados.
  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é ascendente. Para ordem decrescente, prefixe o campo com ~.

API

Liste os certificados fazendo uma solicitação LIST para o método certificates.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • REGION: a região de destino do Google Cloud. Para listar certificados de todas as regiões, use - como o valor.
  • PROJECT_ID: o ID do projeto do Google Cloud de destino.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE: o número de resultados a serem retornados por página.
  • SORT_BY: uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo com ~.

Conferir o estado de um certificado

Para conferir o estado de um certificado, incluindo o estado de provisionamento e outras informações detalhadas, siga as etapas desta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados no projeto gerenciados pelo Gerenciador de certificados, pela página Gerenciador de certificados (em inglês) do o console do Google Cloud não pode listá-los. Nesses casos, use o método CLI gcloud para listar os certificados. No entanto, se você tiver um link direto para a página Detalhes do certificado, a página Gerenciador de certificados no console do Google Cloud poderá mostrar esses detalhes.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página que aparece, selecione a guia Certificados.

  3. Na guia Certificados, acesse o certificado de destino e clique no nome dele.

A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  1. Opcional: para conferir a resposta REST da API Certificate Manager para este certificado, clique em REST equivalente.

  2. Opcional: se o certificado tiver uma emissão de certificado associada configuração que você quer consultar. No campo Configuração de emissão, faça o seguinte: clique no nome da configuração de emissão de certificado associada.

    O console do Google Cloud mostra a configuração completa da emissão de certificados.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Confira o estado do certificado fazendo uma solicitação GET para o método certificates.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud de destino.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

Excluir um certificado

Para excluir um certificado do Gerenciador de certificados, siga as etapas desta seção. Antes de excluir um certificado, é necessário removê-lo de todas as entradas de mapa de certificados que fazem referência a ele. Caso contrário, a exclusão vai falhar.

Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, marque a caixa de seleção do certificado que que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Exclua o certificado fazendo uma solicitação DELETE para o método certificates.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

A seguir