Cette page explique comment utiliser le Gestionnaire de certificats pour créer et gérer des certificats TLS (Transport Layer Security) (SSL). Le gestionnaire de certificats est compatible avec les types de certificats TLS (SSL) suivants :
- Les certificats gérés par Google sont des certificats que Google Cloud obtient et gère pour vous. Vous pouvez créer les types suivants
certificats avec le gestionnaire de certificats:
- Certificats globaux
- Certificats gérés par Google avec autorisation d'équilibreur de charge
- Certificats gérés par Google avec autorisation DNS
- Certificats gérés par Google avec Certificate Authority Service (service d'autorité de certification)
- Certificats régionaux
- Certificats régionaux gérés par Google
- Certificats régionaux gérés par Google avec CA Service
- Certificats globaux
- Les certificats autogérés sont des certificats que vous obtenez, provisionnez et renouveler votre abonnement.
Pour en savoir plus sur les certificats, consultez Fonctionnement du gestionnaire de certificats
Pour apprendre à déployer un certificat avec le gestionnaire de certificats, consultez la page Présentation du déploiement.
Pour en savoir plus sur les commandes de gcloud CLI utilisées sur cette page, consultez les Documentation de référence de la CLI du gestionnaire de certificats
Créer un certificat géré par Google avec une autorisation pour l'équilibreur de charge
Pour créer un certificat géré par Google
avec une autorisation d'équilibreur de charge,
suivez la procédure décrite dans cette section. Vous ne pouvez créer des certificats gérés par Google avec une autorisation d'équilibreur de charge que dans l'emplacement global
.
Pour spécifier plusieurs noms de domaine pour le certificat, indiquez un fichier liste des noms de domaines cibles du certificat.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Pour Emplacement, sélectionnez Mondial.
Pour Champ d'application, sélectionnez Par défaut.
Pour Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Type d'autorité de certification, sélectionnez Public.
Indiquez les noms de domaine du certificat. Saisissez des valeurs séparées par une virgule liste des domaines cibles. De plus, chaque nom de domaine doit être nom de domaine, tel que
myorg.example.com
.Pour Type d'autorisation, sélectionnez Autorisation de l'équilibreur de charge.
Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, puis spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique qui décrit cela certificat.DOMAIN_NAMES
: liste des cibles, séparées par une virgule domaines pour ce certificat. Chaque nom de domaine doit être un nom complet nom de domaine, tel quemyorg.example.com
.
Terraform
Pour créer un certificat géré par Google, vous pouvez utiliser une ressource google_certificate_manager_certificate
avec un bloc managed
.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
API
Créez le certificat en envoyant une requête POST
au
certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], } }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.CERTIFICATE_NAME
: nom unique décrivant ce certificat.DOMAIN_NAME
: domaine cible de ce certificat. Le nom de domaine doit être un nom de domaine complet, tel que en tant quemyorg.example.com
.
Pour obtenir une présentation du processus de déploiement des certificats, consultez la section Présentation du déploiement.
Créer un certificat géré par Google avec une autorisation DNS
Pour créer un certificat géré par Google global avec une autorisation DNS, procédez comme suit :
- Créez les autorisations DNS correspondantes qui font référence à chacun des noms de domaine couverts par le certificat. Pour obtenir des instructions, consultez la section Créer une autorisation DNS.
- Configurez un enregistrement CNAME valide pour le sous-domaine de validation dans la zone DNS du domaine cible. Pour obtenir des instructions, consultez l'article Ajoutez l'enregistrement CNAME à votre configuration DNS.
- Suivez les étapes de cette section.
Vous pouvez créer des certificats regional
et global
gérés par Google.
Pour savoir comment créer un certificat regional
géré par Google, consultez
Créez un certificat géré par Google régional.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Pour Emplacement, sélectionnez Mondial.
Pour Champ d'application, sélectionnez Par défaut.
Pour Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Type d'autorité de certification, sélectionnez Public.
Spécifiez les noms de domaine du certificat. Saisissez des valeurs séparées par une virgule liste des domaines cibles. De plus, chaque nom de domaine doit être nom de domaine, tel que
myorg.example.com
.Dans Type d'autorisation, sélectionnez Autorisation DNS. Si le nom de domaine est associé à une autorisation DNS, il sera automatiquement détecté. Si aucune autorisation DNS n'est associée au nom de domaine, procédez comme suit :
- Cliquez sur Créer une autorisation DNS manquante pour afficher la boîte de dialogue "Créer une autorisation DNS".
- Dans le champ Nom de l'autorisation DNS, spécifiez le nom de l'autorisation DNS.
- Cliquez sur Créer une autorisation DNS. Vérifiez que le nom DNS est associé au nom de domaine.
Spécifiez une étiquette à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, et spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --dns-authorizations="AUTHORIZATION_NAMES"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique qui décrit cela certificat.DOMAIN_NAMES
: liste des domaines cibles de ce certificat, séparés par des virgules. Chaque nom de domaine doit être un nom complet nom de domaine, tel quemyorg.example.com
.AUTHORIZATION_NAMES
: liste de valeurs séparées par des virgules les noms des autorisations DNS que vous avez créées pour ce certificat.
Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. A nom de domaine générique le certificat couvre tous les sous-domaines de premier niveau d'un domaine donné.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique décrivant ce certificat.DOMAIN_NAME
: domaine cible de ce certificat. Le préfixe à point (*.
) indique un certificat générique. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom du DNS que vous avez créée pour ce certificat.
Terraform
Pour créer un certificat géré par Google avec une autorisation DNS, vous pouvez utiliser une ressource google_certificate_manager_certificate
.
avec l'attribut dns_authorizations
dans le bloc managed
.
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
API
Créez le certificat en envoyant une requête POST
au
certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.CERTIFICATE_NAME
: nom unique décrivant ce certificat.DOMAIN_NAME
: domaine cible de ce certificat. Le préfixe astérisque-point (*.
) indique un certificat générique. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom du DNS d'autorisations que vous avez créées pour ce certificat.
Pour gérer indépendamment les certificats dans plusieurs projets, vous pouvez utiliser l'autorisation DNS par projet. Pour en savoir plus sur la création de certificats avec une autorisation DNS par projet, consultez la page Créer une autorisation DNS.
Pour obtenir une présentation du processus de déploiement des certificats, consultez la section Présentation du déploiement.
Créer un certificat géré par Google émis par CA Service
Pour créer un certificat géré par Google émis par un service CA
instance sous votre contrôle, suivez la procédure décrite dans cette section. Vous pouvez créer des certificats regional
et global
gérés par Google. Pour plus d'informations
sur la création d'un certificat régional géré par Google émis par
CA Service, consultez
Créer un certificat régional géré par Google et émis par CA Service
Pour effectuer cette tâche, vous devez disposer des rôles suivants sur le projet Google Cloud cible :
Pour en savoir plus sur les commandes de gcloud CLI utilisées dans cette section, consultez les Documentation de référence de la CLI du gestionnaire de certificats
Configurer l'intégration du service CA avec le Gestionnaire de certificats
Si vous ne l'avez pas déjà fait, vous devez configurer Gestionnaire de certificats à intégrer au service CA comme décrit dans cette section. Si une règle d'émission de certificats est en vigueur sur le pool d'autorités de certification cible, le provisionnement de certificats peut échouer pour l'une des raisons suivantes :
- La règle d'émission de certificat a bloqué le certificat demandé. Dans ce cas, vous n'êtes pas facturé, car le certificat n'a pas été délivré.
- La règle a appliqué des modifications au certificat qui ne sont pas compatibles avec le Gestionnaire de certificats. Dans ce cas, vous êtes toujours facturé parce que le certificat a été émis, même s'il n'est pas entièrement compatible avec Gestionnaire de certificats.
Pour tout problème lié aux restrictions liées aux règles d'émission, consultez la page Dépannage.
Pour configurer l'intégration du service CA avec le Gestionnaire de certificats, procédez comme suit :
- Activez l'API Service CA.
- Créez un pool d'autorités de certification.
- Créer une autorité de certification et l'activer dans le pool d'autorités de certification que vous avez créé à l'étape précédente.
Autorisez le Gestionnaire de certificats à demander des certificats au pool d'autorités de certification cible :
Utilisez la commande suivante pour créer un compte de service Certificate Manager dans le projet Google Cloud cible :
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Remplacez
PROJECT_ID
par l'ID de la cible. projet Google Cloud.La commande renvoie le nom du compte de service créé. Exemple :
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Attribuez au compte de service Certificate Manager le rôle Demandeur de certificat dans le pool d'autorités de certification cible comme suit :
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Remplacez les éléments suivants :
CA_POOL
: ID du pool d'autorités de certification cibleREGION
: région Google Cloud cibleSERVICE_ACCOUNT
: nom complet du compte de service que vous avez créé à l'étape 1
Créez une ressource de configuration d'émission de certificats pour votre pool d'autorités de certification :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Issuance Configs (Configurations d'émission), cliquez sur Create (Créer).
Dans le champ Nom, saisissez un nom unique pour la configuration d'émission de certificats.
Dans Emplacement, sélectionnez Mondial.
Facultatif: Dans le champ Description, saisissez une description pour la configuration d'émission.
Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
Dans le champ Pourcentage de la période de rotation, spécifiez le pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation.
Dans la liste Algorithme de clé, sélectionnez l'algorithme à utiliser pour générer la clé privée.
Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.
Dans le champ Étiquettes, spécifiez les étiquettes à associer au certificat. Pour ajouter un libellé, cliquez sur
Ajouter un libellé, puis spécifiez les paramètreskey
etvalue
pour votre libellé.Cliquez sur Créer.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME
: nom unique qui identifie cette ressource de configuration d'émission de certificats.CA_POOL
: chemin d'accès complet à la ressource et nom de l'autorité de certification pool que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME
: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours en durée standard de sortie. La valeur par défaut est de 30 jours (30D
). Ce paramètre est facultatif.ROTATION_WINDOW_PERCENTAGE
: pourcentage de la durée de vie du certificat au cours duquel le renouvellement du certificat est déclenché. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation. Ce paramètre est facultatif.KEY_ALGORITHM
: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256
oursa-2048
. La valeur par défaut estrsa-2048
. Ce paramètre est facultatif.
Pour en savoir plus sur les ressources de configuration de l'émission de certificats, consultez la page Gérer la configuration de l'émission de certificats.
Créer un certificat géré par Google émis par votre instance CA Service
Créez un certificat géré par Google émis par votre instance de service CA comme suit :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Pour Emplacement, sélectionnez Mondial.
Pour Champ d'application, sélectionnez Par défaut.
Dans Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Type d'autorité de certification, sélectionnez Privé.
Spécifiez les noms de domaine du certificat. Saisissez une liste des domaines cibles séparés par une virgule. De plus, chaque nom de domaine doit être un nom de domaine complet, tel que
myorg.example.com
.Pour Certificate Issuance Config (Configuration d'émission de certificats), sélectionnez le nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.
Pour créer une configuration d'émission, cliquez sur Ajouter une configuration d'émission de certificats, spécifiez les informations suivantes, puis cliquez sur Créer.
- Name (Nom) : nom unique de la configuration d'émission de certificats.
- Description : description de la configuration d'émission.
- Durée de vie : durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
- Pourcentage de la période de rotation: pourcentage de la durée de vie du certificat au moment où son renouvellement est déclenché. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation.
- Algorithme de clé : algorithme de clé à utiliser lors de la génération de la clé privée.
- Pool d'autorités de certification : nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.
- Libellé : libellés à associer à la configuration d'émission de certificats.
Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, et spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique qui décrit cela certificat.DOMAIN_NAMES
: liste des domaines cibles de ce certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com
.ISSUANCE_CONFIG_NAME
: nom du certificat ressource de configuration d'émission faisant référence au pool d'autorités de certification cible.
API
Créez le certificat en envoyant une requête POST
au
certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": ["ISSUANCE_CONFIG_NAME"], } }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.CERTIFICATE_NAME
: nom unique décrivant ce certificat.DOMAIN_NAME
: domaine cible pour cet certificat. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.ISSUANCE_CONFIG_NAME
: nom du certificat ressource de configuration d'émission faisant référence au pool d'autorités de certification cible.
Pour obtenir une présentation du processus de déploiement des certificats, consultez la section Présentation du déploiement.
Créer un certificat régional géré par Google et émis par CA Service
Pour créer un certificat régional géré par Google émis par une instance de service CA sous votre contrôle, suivez les étapes de cette section.
Configurer l'intégration de CA Service avec le gestionnaire de certificats
Configurer le gestionnaire de certificats à intégrer CA Service comme suit:
Créer un compte de service de gestionnaire de certificats dans la cible Projet Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Remplacez
PROJECT_ID
par l'ID du projet Google Cloud cible.La commande renvoie le nom de l'identité de service créée, comme indiqué dans l'exemple suivant:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Attribuez au compte de service Certificate Manager le rôle Demandeur de certificat dans le pool d'autorités de certification cible comme suit :
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Remplacez les éléments suivants :
CA_POOL
: ID du pool d'autorités de certification cible.LOCATION
: emplacement Google Cloud cible Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.SERVICE_ACCOUNT
: nom complet du compte de service que vous avez créé à l'étape 1.
Créez une ressource de configuration d'émission de certificats pour votre pool d'autorités de certification :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Issuance Configs (Configurations d'émission), cliquez sur Create (Créer).
Dans le champ Nom, saisissez un nom unique pour la configuration d'émission de certificats.
Facultatif: Dans le champ Description, saisissez une description pour la configuration d'émission.
Pour l'Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez la région.
Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
Dans Pourcentage de la période de rotation, indiquez le pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.
Dans la liste Algorithme de clé, sélectionnez l'algorithme à utiliser pour générer la clé privée.
Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.
Dans le champ Étiquettes, spécifiez les étiquettes à associer au certificat. Pour ajouter un libellé, cliquez sur
Ajouter un libellé, puis spécifiez les paramètreskey
etvalue
pour votre libellé.Cliquez sur Créer.
gcloud
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME
: nom unique du certificat ressource de configuration d'émission.CA_POOL
: chemin d'accès complet et nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.LOCATION
: emplacement Google Cloud cible Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.CERTIFICATE_LIFETIME
: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée standard. La valeur par défaut est 30 jours (30D
). Ce paramètre est facultatif.ROTATION_WINDOW_PERCENTAGE
: pourcentage de la durée de vie du certificat au début de son processus de renouvellement. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.KEY_ALGORITHM
: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256
oursa-2048
. La valeur par défaut estrsa-2048
. Ce paramètre est facultatif.DESCRIPTION
: description du certificat ressource de configuration d'émission. Ce paramètre est facultatif.
Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Gérer la configuration de l'émission des certificats
Créer un certificat régional géré par Google et émis par votre service CA
Créez un certificat régional géré par Google émis par votre service CA à l'aide de la ressource de configuration d'émission de certificats créée à l'étape précédente :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif : saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Pour Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez une région.
Dans Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Type d'autorité de certification, sélectionnez Privé.
Spécifiez les noms de domaine du certificat. Saisissez une liste des domaines cibles séparés par une virgule. De plus, chaque nom de domaine doit être un nom de domaine complet, tel que
myorg.example.com
.Pour Certificate Issuance Config (Configuration d'émission de certificats), sélectionnez le nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.
Pour créer une configuration d'émission, cliquez sur Ajouter une configuration d'émission de certificats, spécifiez les informations suivantes, puis cliquez sur Créer.
- Name (Nom) : nom unique de la configuration d'émission de certificats.
- Description : description de la configuration d'émission.
- Lifetime (Durée de vie) : durée de vie du certificat émis, en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
- Pourcentage de la période de rotation: pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation.
- Algorithme de clé : algorithme de clé à utiliser lors de la génération de la clé privée.
- Pool d'autorités de certification : nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.
- Libellé : libellés à associer à la configuration d'émission de certificats.
Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, et spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
Exécutez la commande ci-dessous.
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAMES
: liste des domaines cibles de ce certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, par exemplemyorg.example.com
.ISSUANCE_CONFIG_NAME
: nom du certificat ressource de configuration d'émission faisant référence au pool d'autorités de certification cible.LOCATION
: emplacement Google Cloud cible Vous devez spécifier le même emplacement que le pool d'autorités de certification, la ressource de configuration d'émission de certificats et le certificat géré.
API
Créez le certificat en envoyant une requête POST
au
certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates? { certificate: { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, } }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible de ce certificat. Le nom de domaine doit être un nom de domaine complet, tel queexample.com
ouwww.example.com
.ISSUANCE_CONFIG_NAME
: nom de la ressource de configuration d'émission de certificats faisant référence au pool d'autorités de certification cible.LOCATION
: emplacement Google Cloud cible Toi doit spécifier le même emplacement que le pool d'autorités de certification, l'émission des certificats la ressource de configuration Cloud IAM et le certificat géré.
Pour une présentation du processus de déploiement des certificats, consultez Présentation du déploiement
Créer un certificat régional géré par Google
Pour créer un certificat géré par Google avec une autorisation DNS, procédez comme suit:
- Créez les autorisations DNS correspondantes qui référencent chacune des les noms de domaine couverts par le certificat. Pour obtenir des instructions, consultez la section Créer une autorisation DNS.
- Configurez un enregistrement CNAME valide pour le sous-domaine de validation dans la zone DNS du domaine cible. Pour obtenir des instructions, consultez Ajouter l'enregistrement CNAME à votre configuration DNS.
- Suivez la procédure décrite dans cette section.
Vous pouvez créer des certificats regional
et global
gérés par Google.
Pour savoir comment créer un certificat global
géré par Google, consultez
Créez un certificat géré par Google avec une autorisation DNS.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif : saisissez la description du certificat. La description vous aide à identifier un certificat spécifique par la suite.
Pour Emplacement, sélectionnez Régional.
Dans la liste Région, sélectionnez une région.
Dans Type de certificat, sélectionnez Créer un certificat géré par Google.
Pour Type d'autorité de certification, sélectionnez Public.
Spécifiez les noms de domaine du certificat. Saisissez des valeurs séparées par une virgule liste des domaines cibles. De plus, chaque nom de domaine doit être nom de domaine, tel que
myorg.example.com
.Dans Type d'autorisation, sélectionnez Autorisation DNS. Si le nom de domaine est associé à une autorisation DNS, il sera automatiquement détecté. Si le nom de domaine n'est associé à aucune autorisation DNS, procédez comme suit:
- Cliquez sur Create missing DNS authorization (Créer une autorisation DNS manquante) pour afficher la Boîte de dialogue Create DNS Authorization (Créer une autorisation DNS).
- Dans le champ Nom d'autorisation DNS, spécifiez l'autorisation DNS son nom.
- Cliquez sur Créer une autorisation DNS. Vérifiez que le nom DNS est associé au nom de domaine.
Spécifiez une étiquette à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, et spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
Exécutez la commande ci-dessous.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat. Le nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
.AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créés pour ce certificat.LOCATION
: emplacement où vous créez le Certificat géré par Google.
Pour créer un certificat géré par Google avec un nom de domaine générique, utilisez la commande suivante. Un domaine générique nom du certificat couvre tous les sous-domaines de premier niveau d'un domaine donné.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique du certificat.DOMAIN_NAME
: domaine cible du certificat Le préfixe à point (*.
) indique un certificat générique. La nom de domaine doit être un nom de domaine complet, tel quemyorg.example.com
AUTHORIZATION_NAME
: nom de l'autorisation DNS que vous avez créée pour ce certificat.LOCATION
: emplacement où vous créez le certificat géré par Google.
Importer un certificat autogéré
Pour importer un certificat autogéré, suivez les étapes décrites dans cette section. Vous pouvez importer des certificats TLS (SSL) X.509 globaux et régionaux des types suivants :
- Certificats générés par des autorités de certification tierces de votre choix
- Certificats générés par les autorités de certification sous votre contrôle
- Certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat
Vous devez importer les fichiers suivants encodés au format PEM:
- Le fichier de certificat (
.crt
) - Le fichier de clé privée (
.key
) correspondant
Consultez la page Présentation du déploiement. pour connaître les étapes nécessaires pour commencer à diffuser le certificat sur votre équilibreur de charge.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Cliquez sur Ajouter un certificat.
Saisissez un nom pour le certificat.
Ce nom doit être unique au projet.
Facultatif: saisissez la description du certificat. La la description vous aide à identifier un certificat spécifique ultérieurement.
Pour Emplacement, sélectionnez l'une des options suivantes:
- Global (Global) : sélectionnez "Global" (Global) pour que le certificat puisse être utilisé à l'échelle mondiale. Si vous choisissez "Globales", accédez au menu déroulant Portée.
sélectionnez l'une des options suivantes:
- Par défaut: les certificats dont le champ d'application est par défaut sont diffusés à partir de dans les principaux centres de données Google.
- Cache périphérique : les certificats de ce champ d'application sont des certificats spéciaux et sont diffusés à partir de centres de données Google secondaires.
- Toutes les régions : les certificats sont diffusés depuis toutes les régions.
- Régional : sélectionnez "Régional" pour que le certificat puisse être utilisé dans une région spécifique. Si vous choisissez "Régional", sélectionnez une région dans la liste Région.
- Global (Global) : sélectionnez "Global" (Global) pour que le certificat puisse être utilisé à l'échelle mondiale. Si vous choisissez "Globales", accédez au menu déroulant Portée.
sélectionnez l'une des options suivantes:
Dans le champ Type de certificat, sélectionnez Créer un certificat autogéré.
Pour le champ Certificat, effectuez l'une des opérations suivantes :
- Cliquez sur le bouton Importer et sélectionnez votre fichier PEM fichier de certificat.
- Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par
-----BEGIN CERTIFICATE-----
et se terminer par-----END CERTIFICATE-----
.
Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :
- Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
- Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par
-----BEGIN PRIVATE KEY-----
et se terminer par-----END PRIVATE KEY-----
.
Spécifiez un libellé à associer au certificat. Si nécessaire, vous pouvez ajouter plusieurs libellés. Pour ajouter un libellé, cliquez sur l'icône add_box le bouton Ajouter un libellé, et spécifiez les paramètres
key
etvalue
pour votre libellé.Cliquez sur Créer. Vérifiez que le nouveau certificat apparaît dans la liste des certificats.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="REGION"]
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom unique qui décrit cela certificat.CERTIFICATE_FILE
: chemin d'accès et nom du fichier de certificat.crt
.PRIVATE_KEY_FILE
: chemin d'accès et nom du fichier de clé privée.key
.REGION
: région Google Cloud cible. La valeur par défaut estglobal
. Ce paramètre est facultatif.
Terraform
Pour importer un certificat autogéré, vous pouvez utiliser une ressource google_certificate_manager_certificate
avec le bloc self_managed
.
API
Importez le certificat en envoyant une requête POST
à
certificates.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } }
Remplacez les éléments suivants :
PROJECT_ID
: ID de la cible projet Google Cloud.CERTIFICATE_NAME
: nom unique qui décrit cela certificat.PEM_CERTIFICATE
: fichier PEM du certificat.PEM_KEY
: code PEM de la clé.REGION
: la cible Google Cloud dans la même région. La valeur par défaut estglobal
. Ce paramètre est facultatif.
Mettre à jour un certificat
Pour mettre à jour un certificat existant sans modifier ses attributions à de domaine dans le mappage de certificat correspondant, suivez les étapes de ce . Les SAN du nouveau certificat doivent correspondre exactement aux SAN du certificat existant.
Pour les certificats gérés par Google, vous ne pouvez mettre à jour que les description
et
labels
. Pour mettre à jour un certificat autogéré, vous devez importer le
suivants encodés au format PEM:
- Le fichier de certificat (
.crt
) - Le fichier de clé privée (
.key
) correspondant
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="REGION"]
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom du certificat cible.CERTIFICATE_FILE
: chemin d'accès et nom de fichier de.crt
fichier de certificat.PRIVATE_KEY_FILE
: chemin d'accès et nom de fichier de.key
fichier de clé privée.DESCRIPTION
: valeur de description unique pour ce certificat.LABELS
: liste d'étiquettes appliquées à ce certificat, séparées par une virgule.REGION
: la cible Google Cloud dans la même région. La valeur par défaut estglobal
. Ce paramètre est facultatif.
API
Mettez à jour le certificat en envoyant une requête PATCH
à la méthode certificates.patch
comme suit :
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Remplacez les éléments suivants :
PROJECT_ID
: ID de la cible projet Google Cloud.REGION
: la cible Google Cloud dans la même région. La valeur par défaut estglobal
. Ce paramètre est facultatif.CERTIFICATE_NAME
: nom du certificat cible.PEM_CERTIFICATE
: fichier PEM du certificat.PEM_KEY
: clé PEM.DESCRIPTION
: description pertinente de ce certificat.LABEL_KEY
: clé de libellé appliquée à ce certificat.LABEL_VALUE
: valeur de libellé appliquée à ce certificat.
Lister les certificats
Pour répertorier les certificats gérés par le gestionnaire de certificats, suivez la les étapes de cette section. Par exemple, vous pouvez effectuer les requêtes suivantes:
- Lister les certificats en fonction du nom de domaine qui leur a été attribué
- Lister les certificats expirés
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Si votre projet comporte plus de 10 000 certificats gérés par gestionnaire de certificats, la page Gestionnaire de certificats dans la console Google Cloud ne peut pas les répertorier. Dans ce cas, utilisez la gcloud CLI pour lister vos certificats à la place.
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats. Cet onglet répertorie tous les certificats gérés par Gestionnaire de certificats dans le projet sélectionné.
L'onglet Certificats classiques répertorie les certificats du projet sélectionné. provisionnés directement via Cloud Load Balancing. Ces certificats ne sont pas gérés par le gestionnaire de certificats. Pour savoir comment gérer ces certificats, consultez l'un des articles suivants dans la documentation de Cloud Load Balancing :
gcloud
gcloud certificate-manager certificates list \ [--location="REGION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Remplacez les éléments suivants :
REGION
: région Google Cloud cible pour répertorier certificats de toutes les régions, utilisez-
comme valeur. La valeur par défaut estglobal
. Ce paramètre est facultatif.FILTER
: expression qui limite l'objet renvoyé les résultats à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats les critères suivants:- Date et heure d'expiration:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Noms DNS SAN:
--filter='san_dnsnames:"example.com"'
- État du certificat:
--filter='managed.state=FAILED'
- Type de certificat :
--filter='managed:*'
- Libellés et date de création:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Date et heure d'expiration:
Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.
PAGE_SIZE
: nombre de résultats à renvoyer par page.LIMIT
: nombre maximal de résultats à renvoyer.SORT_BY
: liste de champsname
séparés par une virgule dans lequel les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant; Pour l'ordre de tri décroissant, ajoutez le préfixe~
au champ.
API
Listez les certificats en envoyant une requête LIST
au certificates.list
.
comme suit:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
REGION
: région Google Cloud cible. Pour lister les certificats de toutes les régions, utilisez-
comme valeur.PROJECT_ID
: ID du projet Google Cloud cible.FILTER
: expression qui limite les résultats renvoyés à des valeurs spécifiques.PAGE_SIZE
: nombre de résultats à renvoyer par page.SORT_BY
: liste de noms de champs séparés par une virgule en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant ; pour ordre de tri décroissant, ajoutez le préfixe~
au champ.
Afficher l'état d'un certificat
Afficher l'état d'un certificat existant, y compris son état de provisionnement et d'autres informations détaillées, suivez la procédure décrite dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Si votre projet comporte plus de 10 000 certificats gérés par gestionnaire de certificats, la page Gestionnaire de certificats dans la console Google Cloud ne peut pas les répertorier. Dans ce cas, utilisez plutôt la commande gcloud CLI pour lister vos certificats. Toutefois, si vous disposez d'un lien direct vers la page Détails du certificat, le la page Gestionnaire de certificats de la console Google Cloud peut afficher ces plus de détails.
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Certificats.
Dans l'onglet Certificats, accédez au certificat cible, puis cliquez sur le nom du certificat.
La page Détails du certificat affiche des informations détaillées sur le certificat sélectionné.
Facultatif : Pour afficher la réponse REST de l'API Certificate Manager pour ce certificat, cliquez sur REST équivalent.
Facultatif: si le certificat est associé à un certificat d'émission la configuration que vous souhaitez afficher, puis dans le champ Configuration de l'émission, cliquez sur le nom de la configuration d'émission de certificats associée.
La console Google Cloud affiche la configuration complète de l'émission de certificats.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="REGION"]
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom du certificat cible.REGION
: la cible Google Cloud dans la même région. La valeur par défaut estglobal
. Ce paramètre est facultatif.
API
Affichez l'état du certificat en envoyant une requête GET
au
certificates.get
comme suit:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.REGION
: région Google Cloud cible.CERTIFICATE_NAME
: nom du certificat cible.
Supprimer un certificat
Pour supprimer un certificat du gestionnaire de certificats, suivez les étapes de cette section. Avant de pouvoir supprimer un certificat, vous devez le supprimer de toutes les entrées de mappage de certificats qui le référencent ; sinon la suppression est défaillant.
Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du Gestionnaire de certificats dans le projet Google Cloud cible.
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Certificats, cochez la case du certificat que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Remplacez les éléments suivants :
CERTIFICATE_NAME
: nom du certificat cible.REGION
: la cible Google Cloud dans la même région. La valeur par défaut estglobal
. Ce paramètre est facultatif.
API
Supprimez le certificat en envoyant une requête DELETE
au certificates.delete
.
comme suit:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.REGION
: région Google Cloud cible.CERTIFICATE_NAME
: nom du certificat cible.
Étape suivante
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer la configuration de l'émission de certificats