Mengelola sertifikat

Halaman ini menjelaskan cara menggunakan Pengelola Sertifikat untuk membuat dan mengelola sertifikat Transport Layer Security (TLS) (SSL). Pengelola Sertifikat mendukung jenis sertifikat TLS (SSL) berikut:

  • Sertifikat yang dikelola Google adalah sertifikat yang diperoleh dan dikelola oleh Google Cloud untuk Anda. Anda dapat membuat jenis sertifikat yang dikelola Google berikut dengan Certificate Manager:
    • Sertifikat global
      • Sertifikat yang dikelola Google dengan otorisasi load balancer
      • Sertifikat yang dikelola Google dengan otorisasi DNS
      • Sertifikat yang dikelola Google dengan Certificate Authority Service (CA Service)
    • Sertifikat regional
      • Sertifikat regional yang dikelola Google
      • Sertifikat regional yang dikelola Google dengan CA Service
  • Sertifikat yang dikelola sendiri adalah sertifikat yang Anda peroleh, sediakan, dan perpanjang sendiri.

Untuk mengetahui informasi selengkapnya tentang sertifikat, lihat Cara kerja Pengelola Sertifikat.

Untuk mempelajari cara men-deploy sertifikat dengan Certificate Manager, lihat Ringkasan deployment.

Untuk mengetahui informasi selengkapnya tentang perintah CLI gcloud yang digunakan di halaman ini, baca Referensi CLI Pengelola Sertifikat.

Membuat sertifikat yang dikelola Google dengan otorisasi load balancer

Untuk membuat sertifikat yang dikelola Google dengan otorisasi load balancer, selesaikan langkah-langkah di bagian ini. Anda hanya dapat membuat sertifikat yang dikelola Google dengan otorisasi load balancer di lokasi global.

Agar dapat menentukan beberapa nama domain untuk sertifikat, berikan daftar nama domain target yang dipisahkan koma untuk sertifikat tersebut.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAMES: daftar domain target yang dibatasi koma untuk sertifikat ini. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.

Terraform

Untuk membuat sertifikat yang dikelola Google, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAME: domain target untuk sertifikat ini. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.

Untuk ringkasan proses deployment sertifikat, lihat Ringkasan deployment.

Buat sertifikat yang dikelola Google dengan otorisasi DNS

Untuk membuat sertifikat global yang dikelola Google dengan otorisasi DNS, lakukan hal berikut:

  1. Buat otorisasi DNS yang sesuai yang merujuk ke setiap nama domain yang dicakup oleh sertifikat. Untuk mengetahui petunjuknya, lihat Membuat otorisasi DNS.
  2. Konfigurasikan data CNAME yang valid untuk sub-domain validasi di zona DNS domain target. Untuk mengetahui petunjuknya, lihat Menambahkan data CNAME ke konfigurasi DNS.
  3. Selesaikan langkah-langkah di bagian ini.

Anda dapat membuat sertifikat yang dikelola Google regional dan global. Untuk informasi tentang cara membuat sertifikat regional yang dikelola Google, lihat Membuat sertifikat regional yang dikelola Google.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAMES: daftar domain target yang dibatasi koma untuk sertifikat ini. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • AUTHORIZATION_NAMES: daftar nama otorisasi DNS yang dipisahkan koma yang Anda buat untuk sertifikat ini.

Untuk membuat sertifikat yang dikelola Google dengan nama domain karakter pengganti, gunakan perintah berikut. Sertifikat nama domain karakter pengganti mencakup semua subdomain level pertama dari domain tertentu.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" --dns-authorizations=AUTHORIZATION_NAME

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAME: domain target untuk sertifikat ini. Awalan tanda bintang titik (*.) menandakan sertifikat karakter pengganti. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • AUTHORIZATION_NAME: nama otorisasi DNS yang Anda buat untuk sertifikat ini.

Terraform

Untuk membuat sertifikat yang dikelola Google dengan otorisasi DNS, Anda dapat menggunakan resource google_certificate_manager_certificate dengan atribut dns_authorizations dalam blok managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAME: domain target untuk sertifikat ini. Awalan tanda bintang (*.) menandakan sertifikat karakter pengganti. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • AUTHORIZATION_NAME: nama otorisasi DNS yang Anda buat untuk sertifikat ini.

Untuk mengelola sertifikat di beberapa project secara independen, Anda dapat menggunakan otorisasi DNS per project (Pratinjau). Untuk mengetahui informasi tentang cara membuat sertifikat dengan otorisasi DNS per project, lihat Membuat otorisasi DNS.

Untuk ringkasan proses deployment sertifikat, lihat Ringkasan deployment.

Membuat sertifikat yang dikelola Google yang diterbitkan oleh CA Service

Untuk membuat sertifikat yang dikelola Google dan diterbitkan oleh instance Layanan CA di bawah kontrol Anda, selesaikan langkah-langkah di bagian ini. Anda dapat membuat sertifikat yang dikelola Google regional dan global. Untuk informasi tentang cara membuat sertifikat regional yang dikelola Google dan diterbitkan oleh CA Service, lihat Membuat sertifikat regional yang dikelola Google dan diterbitkan oleh CA Service

Untuk menyelesaikan tugas ini, Anda harus memiliki peran berikut di project Google Cloud target:

Untuk mengetahui informasi selengkapnya tentang perintah CLI gcloud yang digunakan di bagian ini, baca Referensi CLI Pengelola Sertifikat.

Konfigurasikan integrasi CA Service dengan Certificate Manager

Jika belum melakukannya, Anda harus mengonfigurasi Certificate Manager untuk berintegrasi dengan CA Service seperti yang dijelaskan di bagian ini. Jika kebijakan penerbitan sertifikat diterapkan pada kumpulan CA target, penyediaan sertifikat mungkin akan gagal karena salah satu alasan berikut:

  • Kebijakan penerbitan sertifikat telah memblokir sertifikat yang diminta. Dalam hal ini, Anda tidak ditagih karena sertifikat belum diterbitkan.
  • Kebijakan ini menerapkan perubahan pada sertifikat yang tidak didukung oleh Certificate Manager. Dalam hal ini, Anda tetap ditagih karena sertifikat telah diterbitkan, meskipun tidak sepenuhnya kompatibel dengan Certificate Manager.

Untuk masalah yang terkait dengan pembatasan kebijakan penerbitan, lihat halaman Pemecahan masalah.

Untuk mengonfigurasi integrasi CA Service dengan Certificate Manager, lakukan hal berikut:

  • Beri Pengelola Sertifikat kemampuan untuk meminta sertifikat dari kumpulan CA target:
    1. Gunakan perintah berikut untuk membuat akun layanan Certificate Manager di project Google Cloud target:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID project Google Cloud target.

    Perintah ini akan menampilkan nama akun layanan yang dibuat. Contoh:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Beri akun layanan Certificate Manager peran Pemohon Sertifikat dalam kumpulan CA target sebagai berikut:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Ganti kode berikut:

    • CA_POOL: ID kumpulan CA target
    • REGION: region Google Cloud target
    • SERVICE_ACCOUNT: nama lengkap akun layanan yang Anda buat di langkah 1

  1. Buat resource konfigurasi penerbitan sertifikat untuk kumpulan CA Anda:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Ganti kode berikut:

    • ISSUANCE_CONFIG_NAME: nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.
    • CA_POOL: jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
    • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi standar. Defaultnya adalah 30 hari (30D). Setelan ini opsional.
    • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat saat perpanjangan dipicu. Nilai defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa berlaku sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir. Setelan ini bersifat opsional.
    • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Defaultnya adalah rsa-2048. Setelan ini bersifat opsional.

    Untuk informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Mengelola konfigurasi penerbitan sertifikat.

Membuat sertifikat yang dikelola Google yang diterbitkan oleh instance CA Service Anda

Buat sertifikat yang dikelola Google yang dikeluarkan oleh instance Layanan CA Anda sebagai berikut:

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAMES: daftar domain target yang dibatasi koma untuk sertifikat ini. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang merujuk ke kumpulan CA target.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • DOMAIN_NAME: domain target untuk sertifikat ini. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang merujuk ke kumpulan CA target.

Untuk ringkasan proses deployment sertifikat, lihat Ringkasan deployment.

Buat sertifikat regional yang dikelola Google dan diterbitkan oleh CA Service

Untuk membuat sertifikat regional yang dikelola Google dan diterbitkan oleh instance Layanan CA di bawah kendali Anda, selesaikan langkah-langkah di bagian ini.

Konfigurasikan integrasi CA Service dengan Certificate Manager

Konfigurasikan Pengelola Sertifikat untuk berintegrasi dengan Layanan CA sebagai berikut:

  1. Buat akun layanan Certificate Manager di project Google Cloud target:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID project Google Cloud target.

Perintah tersebut akan menampilkan nama identitas layanan yang dibuat, seperti yang ditunjukkan pada contoh berikut:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Beri akun layanan Certificate Manager peran Pemohon Sertifikat dalam kumpulan CA target sebagai berikut:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Ganti kode berikut:

    • CA_POOL: ID kumpulan CA target.
    • LOCATION: lokasi Google Cloud target. Anda harus menentukan lokasi yang sama dengan kumpulan CA, resource konfigurasi penerbitan sertifikat, dan sertifikat terkelola.
    • SERVICE_ACCOUNT: nama lengkap akun layanan yang Anda buat di langkah 1.

  2. Buat resource konfigurasi penerbitan sertifikat untuk kumpulan CA Anda:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Ganti kode berikut:

    • ISSUANCE_CONFIG_NAME: nama unik resource konfigurasi penerbitan sertifikat.
    • CA_POOL: jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
    • LOCATION: lokasi Google Cloud target. Anda harus menentukan lokasi yang sama dengan kumpulan CA, resource konfigurasi penerbitan sertifikat, dan sertifikat terkelola.
    • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi standar. Nilai defaultnya adalah 30 hari (30D). Setelan ini bersifat opsional.
    • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat saat perpanjangan dipicu. Setelan ini bersifat opsional. Nilai defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.
    • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai defaultnya adalah rsa-2048. Setelan ini bersifat opsional.
    • DESCRIPTION: deskripsi untuk resource konfigurasi penerbitan sertifikat. Setelan ini bersifat opsional.

Untuk informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Mengelola konfigurasi penerbitan sertifikat.

Buat sertifikat regional yang dikelola Google yang dikeluarkan oleh CA Service Anda

Buat sertifikat regional yang dikelola Google yang diterbitkan oleh Layanan CA Anda menggunakan resource konfigurasi penerbitan sertifikat yang dibuat pada langkah sebelumnya:

gcloud

Jalankan perintah berikut:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik sertifikat.
  • DOMAIN_NAMES: daftar domain target yang dibatasi koma untuk sertifikat ini. Setiap nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang merujuk ke kumpulan CA target.
  • LOCATION: lokasi Google Cloud target. Anda harus menentukan lokasi yang sama dengan kumpulan CA, resource konfigurasi penerbitan sertifikat, dan sertifikat terkelola.

API

Buat sertifikat dengan membuat permintaan POST ke metode certificates.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • CERTIFICATE_NAME: nama unik sertifikat.
  • DOMAIN_NAME: domain target untuk sertifikat ini. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti example.com, www.example.com.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang merujuk ke kumpulan CA target.
  • LOCATION: lokasi Google Cloud target. Anda harus menentukan lokasi yang sama dengan kumpulan CA, resource konfigurasi penerbitan sertifikat, dan sertifikat terkelola.

Untuk ringkasan proses deployment sertifikat, lihat Ringkasan deployment.

Membuat sertifikat regional yang dikelola Google

Untuk membuat sertifikat yang dikelola Google dengan otorisasi DNS, lakukan hal berikut:

  1. Buat otorisasi DNS yang sesuai yang merujuk ke setiap nama domain yang dicakup oleh sertifikat. Untuk mengetahui petunjuknya, lihat Membuat otorisasi DNS.
  2. Konfigurasikan data CNAME yang valid untuk sub-domain validasi di zona DNS domain target. Untuk mengetahui petunjuknya, lihat Menambahkan data CNAME ke konfigurasi DNS.
  3. Selesaikan langkah-langkah di bagian ini.

Anda dapat membuat sertifikat yang dikelola Google regional dan global. Untuk informasi tentang cara membuat sertifikat global yang dikelola Google, lihat Membuat sertifikat yang dikelola Google dengan otorisasi DNS.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud

Jalankan perintah berikut:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik sertifikat.
  • DOMAIN_NAME: domain target sertifikat. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • AUTHORIZATION_NAME: nama otorisasi DNS yang Anda buat untuk sertifikat ini.
  • LOCATION: lokasi tempat Anda membuat sertifikat yang dikelola Google.

Untuk membuat sertifikat yang dikelola Google dengan nama domain karakter pengganti, gunakan perintah berikut. Sertifikat nama domain karakter pengganti mencakup semua subdomain level pertama dari domain tertentu.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik sertifikat.
  • DOMAIN_NAME: domain target sertifikat. Awalan tanda bintang (*.) menandakan sertifikat karakter pengganti. Nama domain harus berupa nama domain yang sepenuhnya memenuhi syarat, seperti myorg.example.com.
  • AUTHORIZATION_NAME: nama otorisasi DNS yang Anda buat untuk sertifikat ini.
  • LOCATION: lokasi tempat Anda membuat sertifikat yang dikelola Google.

Upload sertifikat yang dikelola sendiri

Untuk mengupload sertifikat yang dikelola sendiri, selesaikan langkah-langkah di bagian ini. Anda dapat mengupload sertifikat X.509 TLS (SSL) global dan regional dari jenis berikut:

  • Sertifikat yang dibuat oleh certificate authority (CA) pihak ketiga pilihan Anda
  • Sertifikat yang dibuat oleh certificate authority di bawah kendali Anda
  • Sertifikat yang ditandatangani sendiri, seperti dijelaskan dalam Membuat kunci pribadi dan sertifikat

Anda harus mengupload file berenkode PEM berikut:

  • File sertifikat (.crt)
  • File kunci pribadi (.key) yang terkait

Lihat Ringkasan deployment untuk mengetahui langkah-langkah yang diperlukan untuk mulai menayangkan sertifikat di load balancer.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • CERTIFICATE_FILE: jalur dan nama file untuk file sertifikat .crt.
  • PRIVATE_KEY_FILE: jalur dan nama file untuk file kunci pribadi .key.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.

Terraform

Untuk mengupload sertifikat yang dikelola sendiri, Anda dapat menggunakan resource google_certificate_manager_certificate dengan blok self_managed.

API

Upload sertifikat dengan membuat permintaan POST ke metode certificates.create seperti berikut:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • CERTIFICATE_NAME: nama unik yang mendeskripsikan sertifikat ini.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM utama.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.

Memperbarui sertifikat

Untuk memperbarui sertifikat yang ada tanpa mengubah penetapannya ke nama domain dalam peta sertifikat yang sesuai, selesaikan langkah-langkah di bagian ini. SAN di sertifikat baru harus sama persis dengan SAN di sertifikat yang ada.

Untuk sertifikat yang dikelola Google, Anda hanya dapat memperbarui kolom description dan labels. Untuk memperbarui sertifikat yang dikelola sendiri, Anda harus mengupload file berenkode PEM berikut:

  • File sertifikat (.crt)
  • File kunci pribadi (.key) yang terkait

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat target.
  • CERTIFICATE_FILE: jalur dan nama file untuk file sertifikat .crt.
  • PRIVATE_KEY_FILE: jalur dan nama file untuk file kunci pribadi .key.
  • DESCRIPTION: nilai deskripsi unik untuk sertifikat ini.
  • LABELS: daftar label yang dipisahkan koma yang diterapkan ke sertifikat ini.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.

API

Perbarui sertifikat dengan membuat permintaan PATCH ke metode certificates.patch seperti berikut:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.
  • CERTIFICATE_NAME: nama sertifikat target.
  • PEM_CERTIFICATE: PEM sertifikat.
  • PEM_KEY: PEM utama.
  • DESCRIPTION: deskripsi yang bermakna untuk sertifikat ini.
  • LABEL_KEY: kunci label yang diterapkan ke sertifikat ini.
  • LABEL_VALUE: nilai label yang diterapkan ke sertifikat ini.

Mencantumkan sertifikat

Untuk mencantumkan sertifikat yang dikelola oleh Certificate Manager, selesaikan langkah-langkah di bagian ini. Misalnya, Anda dapat melakukan kueri berikut:

  • Mencantumkan sertifikat berdasarkan nama domain yang ditetapkan
  • Mencantumkan sertifikat yang telah habis masa berlakunya

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

Konsol

Jika Anda memiliki lebih dari 10.000 sertifikat dalam project yang dikelola oleh Pengelola Sertifikat, halaman Pengelola Sertifikat di Konsol Google Cloud tidak dapat mencantumkannya. Dalam kasus tersebut, gunakan perintah gcloud CLI untuk mencantumkan sertifikat Anda.

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Pada halaman yang muncul, pilih tab Sertifikat. Tab ini mencantumkan semua sertifikat yang dikelola oleh Certificate Manager dalam project yang dipilih.

Tab Klasik Certificates mencantumkan sertifikat dalam project yang dipilih yang telah disediakan langsung melalui Cloud Load Balancing. Sertifikat ini tidak dikelola oleh Certificate Manager. Untuk mengetahui petunjuk tentang cara mengelola sertifikat tersebut, lihat salah satu artikel berikut dalam dokumentasi Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ganti kode berikut:

  • REGION: region Google Cloud target; untuk mencantumkan sertifikat dari semua region, gunakan - sebagai nilai. Defaultnya adalah global. Setelan ini bersifat opsional.
  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu. Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:
    • Waktu habis masa berlaku: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nama DNS SAN: --filter='san_dnsnames:"example.com"'
    • Status sertifikat: --filter='managed.state=FAILED'
    • Jenis sertifikat: --filter='managed:*'
    • Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
  • LIMIT: jumlah hasil maksimum untuk ditampilkan.
  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk tata urutan menurun, awali kolom dengan ~.

API

Tampilkan daftar sertifikat dengan membuat permintaan LIST ke metode certificates.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • REGION: region Google Cloud target; untuk mencantumkan sertifikat dari semua region, gunakan - sebagai nilai.
  • PROJECT_ID: ID project Google Cloud target.
  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
  • SORT_BY: daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan penyortiran default adalah menaik; untuk urutan sortir menurun, awali kolom dengan ~.

Melihat status sertifikat

Untuk melihat status sertifikat yang ada, termasuk status penyediaannya dan informasi mendetail lainnya, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

Konsol

Jika Anda memiliki lebih dari 10.000 sertifikat dalam project yang dikelola oleh Pengelola Sertifikat, halaman Pengelola Sertifikat di Konsol Google Cloud tidak dapat mencantumkannya. Dalam kasus semacam ini, gunakan perintah gcloud CLI untuk mencantumkan sertifikat Anda. Namun, jika Anda memiliki link langsung ke halaman Detail sertifikat, halaman Certificate Manager di Google Cloud Console dapat menampilkan detail tersebut.

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Pada halaman yang muncul, pilih tab Sertifikat.

  3. Pada tab Certificates, buka sertifikat target, lalu klik nama sertifikat.

Halaman Certificate details menampilkan informasi mendetail tentang sertifikat yang dipilih.

  1. Opsional: Guna melihat respons REST dari Certificate Manager API untuk sertifikat ini, klik Equivalent REST.

  2. Opsional: Jika sertifikat memiliki konfigurasi penerbitan sertifikat terkait yang ingin Anda lihat, klik nama konfigurasi penerbitan sertifikat yang terkait di kolom Issuance config.

    Konsol Google Cloud menampilkan konfigurasi lengkap konfigurasi penerbitan sertifikat.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat target.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.

API

Lihat status sertifikat dengan membuat permintaan GET ke metode certificates.get seperti berikut:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • REGION: region Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat target.

Menghapus sertifikat

Untuk menghapus sertifikat dari Certificate Manager, selesaikan langkah-langkah di bagian ini. Sebelum dapat menghapus sertifikat, Anda harus menghapusnya dari semua entri peta sertifikat yang mereferensikannya. Jika tidak, penghapusan akan gagal.

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Certificate Manager Owner di project Google Cloud target.

Untuk informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Pada tab Certificates, pilih kotak centang sertifikat yang ingin dihapus.

  3. Klik Delete.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Ganti kode berikut:

  • CERTIFICATE_NAME: nama sertifikat target.
  • REGION: region Google Cloud target. Defaultnya adalah global. Setelan ini bersifat opsional.

API

Hapus sertifikat dengan membuat permintaan DELETE ke metode certificates.delete sebagai berikut:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud target.
  • REGION: region Google Cloud target.
  • CERTIFICATE_NAME: nama sertifikat target.

Langkah selanjutnya