Gérer les certificats

Cette page explique comment utiliser le Gestionnaire de certificats pour créer et gérer des certificats TLS (Transport Layer Security) (SSL).

Pour en savoir plus, consultez la section Certificats compatibles.

Créer un certificat géré par Google

Le gestionnaire de certificats vous permet de créer des certificats gérés par Google de différentes manières:

  • Certificats gérés par Google avec autorisation d'équilibreur de charge (global)
  • Certificats gérés par Google avec autorisation DNS (globale, régionale et interrégionale)
  • Certificats gérés par Google avec Certificate Authority Service (service d'autorité de certification) (global, régional et interrégional)

Autorisation d'équilibreur de charge

L'autorisation de l'équilibreur de charge vous permet d'obtenir un certificat géré par Google pour votre domaine lorsque le trafic est diffusé par l'équilibreur de charge. Cette méthode ne nécessite aucun enregistrement DNS supplémentaire pour le provisionnement de certificats. Vous pouvez utiliser des autorisations d'équilibreur de charge pour de nouveaux environnements sans trafic existant. Pour savoir quand utiliser l'autorisation d'équilibreur de charge avec un certificat géré par Google, consultez la section Types d'autorisation de domaine pour les certificats gérés par Google.

Vous ne pouvez créer des certificats gérés par Google avec une autorisation d'équilibreur de charge que dans l'emplacement global. Les certificats autorisés par l'équilibreur de charge ne sont pas compatibles avec les domaines avec des caractères génériques.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Dans Emplacement, sélectionnez Mondial.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes:

    • Par défaut: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Mise en cache périphérique: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Vous ne pouvez pas utiliser l'autorisation d'équilibreur de charge avec un emplacement régional ni avec la portée Toutes les régions.

  7. Dans Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Dans le champ Type d'autorité de certification, sélectionnez Publique.

  9. Dans le champ Noms de domaine, spécifiez une liste des noms de domaine du certificat, séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, par exemple myorg.example.com.

  10. Pour Type d'autorisation, sélectionnez Autorisation d'équilibreur de charge.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat global géré par Google avec autorisation d'équilibreur de charge, utilisez la commande certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAMES: liste des domaines cibles, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Utilisez une ressource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

API

Créez le certificat en envoyant une requête POST à la méthode certificates.create comme suit:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAMES: liste des domaines cibles, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Autorisation DNS

Pour utiliser des certificats gérés par Google avant que votre environnement de production ne soit prêt, vous pouvez les provisionner avec des autorisations DNS. Pour savoir quand utiliser une autorisation DNS avec un certificat géré par Google, consultez la section Types d'autorisation de domaine pour les certificats gérés par Google.

Pour gérer indépendamment les certificats dans plusieurs projets, vous pouvez utiliser l'autorisation DNS par projet. Pour en savoir plus sur la création de certificats avec une autorisation DNS par projet, consultez Créer une autorisation DNS.

Avant de créer le certificat, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes:

    • Par défaut: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Mise en cache périphérique: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement régional.

  7. Dans Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Dans le champ Type d'autorité de certification, sélectionnez Publique.

  9. Dans le champ Noms de domaine, spécifiez une liste des noms de domaine du certificat, séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, par exemple myorg.example.com. Le nom de domaine peut également être un nom de domaine générique, tel que *.example.com.

  10. Dans Type d'autorisation, sélectionnez Autorisation DNS.

    La page répertorie les autorisations DNS des noms de domaine. Si un nom de domaine n'est pas associé à une autorisation DNS, procédez comme suit pour en créer une:

    1. Cliquez sur Créer une autorisation DNS manquante.
    2. Dans le champ Nom de l'autorisation DNS, spécifiez le nom de l'autorisation DNS. Le type d'autorisation DNS par défaut est FIXED_RECORD. Pour gérer indépendamment les certificats dans plusieurs projets, cochez la case Autorisation par projet.
    3. Cliquez sur Créer une autorisation DNS.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat géré par Google avec une autorisation DNS, exécutez la commande certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAME: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com, ou un domaine comportant des caractères génériques, tel que *.myorg.example.com. Le préfixe astérisque-point (*.) indique un certificat générique.
  • AUTHORIZATION_NAMES: liste des noms des autorisations DNS, séparés par une virgule.
  • LOCATION: emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Utilisez une ressource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Créez le certificat en envoyant une requête POST à la méthode certificates. create comme suit:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAME: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Émis par CA Service

Vous pouvez intégrer Certificate Manager à CA Service pour émettre des certificats gérés par Google. Pour émettre des certificats globaux gérés par Google, vous devez utiliser un pool d'autorités de certification régionales dans n'importe quelle région. Pour émettre des certificats régionaux gérés par Google, vous devez utiliser un pool d'autorités de certification dans la même région que votre certificat.

Avant de créer le certificat, configurez l'intégration du service CA avec le Gestionnaire de certificats.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes:

    • Par défaut: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Mise en cache périphérique: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement régional.

  7. Dans Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Dans le champ Type d'autorité de certification, sélectionnez Privé.

  9. Dans le champ Noms de domaine, spécifiez une liste des noms de domaine du certificat, séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, par exemple myorg.example.com.

  10. Pour Select a certificate issuance config (Sélectionner une configuration d'émission de certificats), sélectionnez le nom de la ressource de configuration d'émission de certificats référençant le pool d'autorités de certification cibles.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat géré par Google avec Certificate Authority Service, utilisez la commande certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAME: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com, ou un domaine comportant des caractères génériques, tel que *.myorg.example.com. Le préfixe astérisque-point (*.) indique un certificat générique.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • LOCATION: emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

API

Créez le certificat en envoyant une requête POST à la méthode certificates.create comme suit:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • CERTIFICATE_NAME: nom du certificat.
  • DOMAIN_NAME: nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Importer un certificat autogéré

Pour importer un certificat autogéré, importez le fichier de certificat (CRT) et le fichier de clé privée (KEY) correspondant. Vous pouvez importer des certificats TLS (SSL) X.509 globaux et régionaux des types suivants:

  • Certificats générés par des autorités de certification (CA) tierces de votre choix
  • Certificats générés par des autorités de certification que vous contrôlez.
  • Certificats autosignés, comme décrit dans la section Créer une clé privée et un certificat.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif: Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes:

    • Par défaut: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Mise en cache périphérique: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement régional.

  7. Dans Type de certificat, sélectionnez Créer un certificat autogéré.

  8. Pour le champ Certificat, effectuez l'une des opérations suivantes:

    • Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.

  9. Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes:

    • Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.

  10. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  11. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat autogéré, utilisez la commande certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT.
  • PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY.
  • LOCATION: emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Pour importer un certificat autogéré, vous pouvez utiliser une ressource google_certificate_manager_certificate avec le bloc self_managed.

API

Importez le certificat en envoyant une requête POST à la méthode certificates.create comme suit:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • CERTIFICATE_NAME: nom du certificat.
  • PEM_CERTIFICATE: certificat PEM.
  • PEM_KEY: clé PEM.
  • SCOPE: saisissez l'une des options suivantes :
    • default: si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions: si vous prévoyez d'utiliser le certificat avec l'équilibreur de charge d'application interne interrégional.
    • edge-cache: si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Mettre à jour un certificat

Vous pouvez mettre à jour un certificat existant sans modifier ses attributions aux noms de domaine dans la carte de certificats correspondante. Lorsque vous mettez à jour un certificat, assurez-vous que les SAN du nouveau certificat correspondent exactement à ceux du certificat existant.

Certificats gérés par Google

Pour les certificats gérés par Google, vous ne pouvez modifier que la description et les libellés du certificat.

Console

Vous ne pouvez pas mettre à jour un certificat à partir de la console Google Cloud. Utilisez plutôt Google Cloud CLI.

gcloud

Pour mettre à jour un certificat géré par Google, exécutez la commande certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • DESCRIPTION: description unique du certificat.
  • LABELS: liste d'étiquettes appliquées à ce certificat, séparées par une virgule.

API

Mettez à jour le certificat en envoyant une requête PATCH à la méthode certificates.patch comme suit:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • CERTIFICATE_NAME: nom du certificat.
  • DESCRIPTION: description du certificat.
  • LABEL_KEY: clé de libellé appliquée au certificat.
  • LABEL_VALUE: valeur de libellé appliquée au certificat.

Certificats autogérés

Pour mettre à jour un certificat autogéré, vous devez importer les fichiers encodés au format PEM suivants:

  • Fichier CRT du certificat

  • Fichier de clé privée correspondant

Console

Vous ne pouvez pas mettre à jour un certificat à partir de la console Google Cloud. Utilisez plutôt Google Cloud CLI.

gcloud

Pour mettre à jour un certificat autogéré, utilisez la commande certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • CERTIFICATE_FILE: chemin d'accès et nom du fichier de certificat CRT.
  • PRIVATE_KEY_FILE: chemin d'accès et nom du fichier de clé privée KEY.
  • DESCRIPTION: valeur de description unique pour ce certificat.
  • LABELS: liste d'étiquettes appliquées à ce certificat, séparées par une virgule.
  • LOCATION: emplacement Google Cloud cible. Cette option est facultative. Spécifiez cet indicateur uniquement pour les certificats régionaux.

API

Mettez à jour le certificat en envoyant une requête PATCH à la méthode certificates.patch comme suit:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible. Cette option est facultative. Spécifiez cet indicateur uniquement pour les certificats régionaux.
  • CERTIFICATE_NAME: nom du certificat.
  • PEM_CERTIFICATE: certificat PEM.
  • PEM_KEY: clé PEM.
  • DESCRIPTION: description pertinente du certificat.
  • LABEL_KEY: clé de libellé appliquée au certificat.
  • LABEL_VALUE: valeur de libellé appliquée au certificat.

Répertorier les certificats

Vous pouvez consulter tous les certificats de votre projet et leurs informations, telles que la région, les noms d'hôte, la date d'expiration et le type.

Console

La page Gestionnaire de certificats de la console Google Cloud peut afficher un maximum de 10 000 certificats. Si votre projet contient plus de 10 000 certificats gérés par Certificate Manager, utilisez la commande gcloud CLI.

Pour afficher les certificats provisionnés par le gestionnaire de certificats:

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Certificats.

    Cet onglet répertorie tous les certificats gérés par le Gestionnaire de certificats dans le projet sélectionné.

Pour afficher les certificats provisionnés via Cloud Load Balancing:

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Certificats classiques.

    Les certificats classiques ne sont pas gérés par le gestionnaire de certificats. Pour en savoir plus sur leur gestion, consultez les ressources suivantes:

gcloud

Pour répertorier les certificats, utilisez la commande certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • LOCATION: emplacement Google Cloud cible. Pour répertorier les certificats de toutes les régions, utilisez - comme valeur. La valeur par défaut est global. Cette option est facultative.

  • FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, vous pouvez filtrer les résultats selon les critères suivants:

    • Date/Heure d'expiration: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Noms DNS du SAN: --filter='san_dnsnames:"example.com"'
    • État du certificat: --filter='managed.state=FAILED'
    • Type de certificat: --filter='managed:*'
    • Libellés et heure de création: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour plus d'exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE: nombre de résultats à renvoyer par page.

  • LIMIT: nombre maximal de résultats à renvoyer.

  • SORT_BY: liste de champs name séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) au champ.

API

Répertoriez les certificats en envoyant une requête LIST à la méthode certificates.list comme suit:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible. Pour répertorier les certificats de toutes les régions, utilisez - comme valeur.

  • FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, vous pouvez filtrer les résultats selon les critères suivants:

    • Date/Heure d'expiration: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Noms DNS du SAN: --filter='san_dnsnames:"example.com"'
    • État du certificat: --filter='managed.state=FAILED'
    • Type de certificat: --filter='managed:*'

    • Libellés et heure de création: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE: nombre de résultats à renvoyer par page.

  • SORT_BY: liste de champs name séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) au champ.

Afficher l'état d'un certificat

Vous pouvez afficher l'état d'un certificat existant, y compris son état de provisionnement et d'autres informations détaillées.

Console

Si votre projet contient plus de 10 000 certificats gérés par le Gestionnaire de certificats, la page Gestionnaire de certificats de la console Google Cloud ne les répertorie pas. Utilisez plutôt la commande gcloud CLI. Toutefois, si vous disposez d'un lien direct vers la page Détails du certificat, vous pouvez consulter ses détails dans la console Google Cloud.

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Certificats.

  3. Dans l'onglet Certificats, accédez au certificat cible, puis cliquez sur son nom.

    La page Détails du certificat affiche des informations détaillées sur le certificat sélectionné.

  4. Facultatif: Pour afficher la réponse REST de l'API Certificate Manager pour ce certificat, cliquez sur REST équivalent.

  5. Facultatif: Si le certificat est associé à une configuration d'émission de certificats que vous souhaitez afficher, dans le champ Configuration d'émission, cliquez sur le nom de la ressource de configuration d'émission de certificats associée.

    La console Google Cloud affiche la configuration complète de l'émission de certificats.

gcloud

Pour afficher l'état d'un certificat, utilisez la commande certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • LOCATION: emplacement Google Cloud cible. L'emplacement par défaut est global. Cette option est facultative.

API

Affichez l'état du certificat en envoyant une requête GET à la méthode certificates.get comme suit:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • CERTIFICATE_NAME: nom du certificat.

Supprimer un certificat

Avant de supprimer un certificat, supprimez-le de toutes les entrées de mappage de certificats qui le référencent. Sinon, la suppression échouera. Pour en savoir plus, consultez Supprimer une entrée de mappage de certificats.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cochez la case du certificat que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.

gcloud

Pour supprimer un certificat, exécutez la commande certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME: nom du certificat.
  • LOCATION: emplacement Google Cloud cible. L'emplacement par défaut est global. Cette option est facultative.

API

Supprimez le certificat en envoyant une requête DELETE à la méthode certificates.delete comme suit:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • CERTIFICATE_NAME: nom du certificat.

Étape suivante