Gerir certificados

Esta página descreve como usar o Gestor de certificados para criar e gerir certificados Transport Layer Security (TLS) (anteriormente SSL).

Para mais informações, consulte o artigo Certificados TLS suportados.

Crie um certificado gerido pela Google

O Gestor de certificados permite-lhe criar certificados geridos pela Google das seguintes formas:

  • Certificados geridos pela Google com autorização do balanceador de carga (global)
  • Certificados geridos pela Google com autorização de DNS (global, regional e entre regiões)
  • Certificados geridos pela Google com o serviço de autoridade de certificação (serviço de AC) (global, regional e entre regiões)

Autorização do balanceador de carga

A autorização do equilibrador de carga permite-lhe obter um certificado gerido pela Google para o seu domínio quando o tráfego é publicado pelo equilibrador de carga. Este método não requer registos de DNS adicionais para o aprovisionamento de certificados. Pode usar autorizações do equilibrador de carga para novos ambientes sem tráfego existente. Para obter informações sobre quando usar a autorização do equilibrador de carga com um certificado gerido pela Google, consulte o artigo Tipos de autorização de domínio para certificados geridos pela Google.

Só pode criar certificados geridos pela Google com autorização do equilibrador de carga na localização global. Os certificados autorizados do equilibrador de carga não suportam domínios com carateres universais.

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição do certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Global.

  6. Em Âmbito, selecione uma das seguintes opções:

    • Predefinição: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • Cache de limite: se planear usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

    Não pode usar a autorização do equilibrador de carga com uma localização regional nem o âmbito de todas as regiões.

  7. Para Tipo de certificado, selecione Criar certificado gerido pela Google.

  8. Para Tipo de autoridade de certificação, selecione Público.

  9. No campo Nomes de domínios, especifique uma lista de nomes de domínios do certificado separados por vírgulas. Cada nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com.

  10. Para Tipo de autorização, selecione Autorização do balanceador de carga.

  11. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  12. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado gerido pela Google global com autorização do equilibrador de carga, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio tem de ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Terraform

Use um google_certificate_manager_certificate recurso.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

API

Crie o certificado fazendo um pedido POST ao método certificates.create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio tem de ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Autorização de DNS

Para usar certificados geridos pela Google antes de o ambiente de produção estar pronto, pode aprovisioná-los com autorizações de DNS. Para ver informações sobre quando usar a autorização de DNS com um certificado gerido pela Google, consulte o artigo Tipos de autorização de domínio para certificados geridos pela Google.

Para gerir certificados de forma independente em vários projetos, pode usar a autorização de DNS por projeto. Para obter informações sobre a criação de certificados com autorização de DNS por projeto, consulte o artigo Crie uma autorização de DNS.

Antes de criar o certificado, faça o seguinte:

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição para o certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Global ou Regional.

    Se selecionou Regional, na lista Região, selecione a sua região.

  6. Em Âmbito, selecione uma das seguintes opções:

    • Predefinição: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • Cache na extremidade: se planear usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

    O campo Âmbito não está disponível se tiver selecionado uma localização Regional.

  7. Para Tipo de certificado, selecione Criar certificado gerido pela Google.

  8. Para Tipo de autoridade de certificação, selecione Público.

  9. No campo Nomes de domínios, especifique uma lista de nomes de domínios do certificado separados por vírgulas. Cada nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com. O nome do domínio também pode ser um nome de domínio com carateres universais, como *.example.com.

  10. Para Tipo de autorização, selecione Autorização de DNS.

    A página apresenta as autorizações de DNS dos nomes de domínios. Se um nome de domínio não tiver uma autorização de DNS associada, siga estes passos para criar uma:

    1. Clique em Criar autorização de DNS em falta.
    2. No campo Nome da autorização de DNS, especifique o nome da autorização de DNS. O tipo de autorização de DNS predefinido é FIXED_RECORD. Para gerir certificados de forma independente em vários projetos, selecione a caixa de verificação Autorização por projeto.
    3. Clique em Criar autorização de DNS.

  11. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  12. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado gerido pela Google com autorização de DNS, execute o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com, ou um domínio de caráter universal, como *.myorg.example.com. O prefixo de ponto de asterisco (*.) significa um certificado de caráter universal.
  • AUTHORIZATION_NAMES: uma lista de nomes das autorizações de DNS delimitada por vírgulas.
  • LOCATION: a localização Google Cloud alvo. A predefinição é global.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Terraform

Use um google_certificate_manager_certificate recurso.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crie o certificado fazendo um pedido POST ao método certificates. create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Emitido pelo serviço de AC

Pode integrar o Gestor de certificados com o serviço de AC para emitir certificados geridos pela Google. Para emitir certificados globais geridos pela Google, usa um conjunto de ACs regionais em qualquer região. Para emitir certificados geridos pela Google regionais, usa um conjunto de ACs na mesma região que o seu certificado.

Antes de criar o certificado, configure a integração do serviço de AC com o Gestor de certificados.

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição do certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Global ou Regional.

    Se selecionou Regional, na lista Região, selecione a sua região.

  6. Em Âmbito, selecione uma das seguintes opções:

    • Predefinição: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • Cache na extremidade: se planear usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

    O campo Âmbito não está disponível se tiver selecionado uma localização Regional.

  7. Para Tipo de certificado, selecione Criar certificado gerido pela Google.

  8. Para Tipo de autoridade de certificação, selecione Privado.

  9. No campo Nomes de domínios, especifique uma lista de nomes de domínios do certificado separados por vírgulas. Cada nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com.

  10. Para Selecionar uma configuração de emissão de certificados, selecione o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de AC de destino.

  11. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  12. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado gerido pela Google com o Certificate Authority Service, use o comando certificate-manager certificates create :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com, ou um domínio de caráter universal, como *.myorg.example.com. O prefixo de ponto de asterisco (*.) significa um certificado de caráter universal.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • LOCATION: a localização Google Cloud alvo. A predefinição é global.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

API

Crie o certificado fazendo um pedido POST ao método certificates.create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome do domínio tem de ser um nome do domínio totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Carregue um certificado autogerido

Para carregar um certificado autogerido, carregue o ficheiro de certificado (CRT) e o ficheiro de chave privada (KEY) correspondente. Pode carregar certificados X.509 TLS (SSL) globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades de certificação (ACs) de terceiros à sua escolha.
  • Certificados gerados por autoridades de certificação que controla.
  • Certificados autoassinados, conforme descrito em Crie uma chave privada e um certificado.

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, introduza um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, introduza uma descrição do certificado. A descrição permite-lhe identificar o certificado.

  5. Para Localização, selecione Global ou Regional.

    Se selecionou Regional, na lista Região, selecione a sua região.

  6. Em Âmbito, selecione uma das seguintes opções:

    • Predefinição: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • Cache de limite: se planear usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

    O campo Âmbito não está disponível se tiver selecionado uma localização Regional.

  7. Para Tipo de certificado, selecione Criar certificado autogerido.

  8. Para o campo Certificado, faça qualquer uma das seguintes ações:

    • Clique no botão Carregar e selecione o ficheiro de certificado formatado em PEM.
    • Copie e cole o conteúdo de um certificado formatado em PEM. O conteúdo tem de começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, faça qualquer uma das seguintes ações:

    • Clique no botão Carregar e selecione a sua chave privada. A chave privada tem de estar no formato PEM e não estar protegida com uma frase secreta.
    • Copiar e colar o conteúdo de uma chave privada formatada em PEM. As chaves privadas têm de começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  11. Clique em Criar.

    O novo certificado é apresentado na lista de certificados.

gcloud

Para criar um certificado autogerido, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do ficheiro do certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do ficheiro da chave privada KEY.
  • LOCATION: a localização Google Cloud alvo. A predefinição é global.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Terraform

Para carregar um certificado autogerido, pode usar um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Carregue o certificado fazendo um pedido POST ao método certificates.create da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.
  • SCOPE: introduza uma das seguintes opções:
    • default: se planeia usar o certificado com o balanceador de carga de aplicações externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se planeia usar o certificado com o balanceador de carga de aplicações interno entre regiões.
    • edge-cache: se planeia usar o certificado com a RFC de multimédia e especificar vários domínios no certificado.

Atualize um certificado

Pode atualizar um certificado existente sem modificar as respetivas atribuições a nomes de domínio no mapa de certificados correspondente. Quando atualiza um certificado, certifique-se de que os SANs no novo certificado correspondem exatamente aos SANs no certificado existente.

Certificados geridos pela Google

Para certificados geridos pela Google, só pode atualizar a descrição e as etiquetas de um certificado.

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, localize o certificado que quer atualizar e, de seguida, clique no nome do certificado. A página Detalhes do certificado apresenta informações detalhadas sobre o certificado selecionado.

  3. Clique em Edit. É apresentada a página Editar certificado.

  4. Opcional: no campo Descrição, introduza uma nova descrição para o certificado.

  5. Opcional: pode adicionar, remover ou alterar as etiquetas associadas ao certificado. Para adicionar uma etiqueta, clique no botão Adicionar etiqueta e, em seguida, especifique um key e um value para a etiqueta.

  6. Clique em Guardar. Na página Detalhes do certificado apresentada, verifique se o certificado foi atualizado.

gcloud

Para atualizar um certificado gerido pela Google, use o comando certificate-manager certificates update :

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição única do certificado.
  • LABELS: uma lista de etiquetas separadas por vírgulas aplicadas a este certificado.

API

Atualize o certificado fazendo um pedido PATCH ao método certificates.patch da seguinte forma:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição do certificado.
  • LABEL_KEY: uma chave de etiqueta aplicada ao certificado.
  • LABEL_VALUE: um valor de etiqueta aplicado ao certificado.

Certificados autogeridos

Para atualizar um certificado autogerido, tem de carregar os seguintes ficheiros com codificação PEM:

  • O ficheiro CRT do certificado

  • O ficheiro KEY de chave privada correspondente

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, localize o certificado que quer atualizar e, de seguida, clique no nome do certificado. A página Detalhes do certificado apresenta informações detalhadas sobre o certificado selecionado.

  3. Clique em Edit. É apresentada a página Editar certificado.

  4. Opcional: no campo Descrição, introduza uma nova descrição para o certificado.

  5. Opcional: no campo Certificado, faça uma das seguintes ações:

    • Clique no botão Carregar e, de seguida, selecione o ficheiro de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado formatado em PEM. O conteúdo tem de começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  6. Opcional: para o campo Certificado de chave privada, execute uma das seguintes ações:

    • Clique no botão Carregar e, de seguida, selecione a sua chave privada. A chave privada tem de estar no formato PEM e não pode estar protegida com uma frase de acesso.
    • Copiar e colar o conteúdo de uma chave privada formatada em PEM. As chaves privadas têm de começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  7. Opcional: pode adicionar, remover ou alterar as etiquetas associadas ao certificado. Para adicionar uma etiqueta, clique no botão Adicionar etiqueta e, em seguida, especifique um key e um value para a etiqueta.

  8. Clique em Guardar. Na página Detalhes do certificado apresentada, verifique se o certificado foi atualizado.

gcloud

Para atualizar um certificado autogerido, use o certificate-manager certificates updatecomando:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do ficheiro do certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do ficheiro da chave privada KEY.
  • DESCRIPTION: um valor de descrição exclusivo para este certificado.
  • LABELS: uma lista de etiquetas separadas por vírgulas aplicadas a este certificado.
  • LOCATION: a localização Google Cloud alvo. Esta flag é opcional. Especifique este indicador apenas para certificados regionais.

API

Atualize o certificado fazendo um pedido PATCH ao método certificates.patch da seguinte forma:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo. Esta flag é opcional. Especifique este indicador apenas para certificados regionais.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.
  • DESCRIPTION: uma descrição significativa do certificado.
  • LABEL_KEY: uma chave de etiqueta aplicada ao certificado.
  • LABEL_VALUE: um valor de etiqueta aplicado ao certificado.

Apresente certificados

Pode ver todos os certificados do seu projeto e os respetivos detalhes, como a região, os nomes de anfitrião, a data de validade e o tipo.

Consola

A página Gestor de certificados na Google Cloud consola pode apresentar um máximo de 10 000 certificados. Se o seu projeto contiver mais de 10 000 certificados geridos pelo gestor de certificados, use o comando da CLI gcloud.

Para ver os certificados aprovisionados pelo Gestor de certificados:

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. Clique no separador Certificados. Este separador apresenta todos os certificados geridos pelo gestor de certificados no projeto selecionado.

Para ver os certificados aprovisionados através do Cloud Load Balancing:

  1. Na Google Cloud consola, aceda ao separador Certificados clássicos na página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados clássicos, pode ver uma lista de todos os certificados clássicos configurados no projeto selecionado.

    Os certificados clássicos não são geridos pelo Gestor de certificados. Para mais informações sobre como os gerir, reveja a documentação sobre como usar certificados geridos pela Google ou usar certificados autogeridos.

gcloud

Para apresentar uma lista de certificados, use o comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua o seguinte:

  • LOCATION: a localização Google Cloud alvo. Para listar certificados de todas as regiões, use - como valor. A predefinição é -. Esta flag é opcional.

  • FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.

    Por exemplo, pode filtrar os resultados pelos seguintes critérios:

    • Hora de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Etiquetas e hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver mais exemplos de filtragem que pode usar com o Certificate Manager, consulte a secção Ordenar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a devolver por página.

  • LIMIT: o número máximo de resultados a devolver.

  • SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.

API

Liste os certificados fazendo um pedido LIST ao método certificates.list da seguinte forma:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo. Para listar certificados de todas as regiões, use - como valor de.

  • FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.

    Por exemplo, pode filtrar os resultados pelos seguintes critérios:

    • Hora de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'

    • Etiquetas e hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Para ver mais exemplos de filtragem que pode usar com o Gestor de certificados, consulte a secção Ordenar e filtrar resultados da lista na documentação do Serviço de gestão de chaves na nuvem.

  • PAGE_SIZE: o número de resultados a devolver por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.

Veja o estado de um certificado

Pode ver o estado de um certificado existente, incluindo o respetivo estado de aprovisionamento e outras informações detalhadas.

Consola

Se o seu projeto contiver mais de 10 000 certificados geridos pelo Gestor de certificados, a página Gestor de certificados na Google Cloud consola não os apresenta. Em alternativa, use o comando da CLI gcloud. No entanto, se tiver um link direto para a página de Detalhes do certificado, pode ver os respetivos detalhes na Google Cloud consola.

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. Na página apresentada, selecione o separador Certificados.

  3. No separador Certificados, aceda ao certificado de destino e, de seguida, clique no nome do certificado. A página Detalhes do certificado apresenta informações detalhadas sobre o certificado selecionado.

  4. Opcional: para ver a resposta REST da API Certificate Manager para este certificado, clique em REST equivalente.

  5. Opcional: se o certificado tiver uma configuração de emissão de certificados associada que quer ver, no campo Configuração de emissão, clique no nome do recurso de configuração de emissão de certificados associado. A Google Cloud consola apresenta a configuração completa da configuração de emissão de certificados.

gcloud

Para ver o estado de um certificado, use o comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: a localização Google Cloud alvo. A localização predefinida é global. Esta flag é opcional.

API

Veja o estado do certificado fazendo um pedido GET ao método certificates.get da seguinte forma:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • CERTIFICATE_NAME: o nome do certificado.

Elimine um certificado

Antes de eliminar um certificado, remova-o de todas as entradas do mapa de certificados que lhe fazem referência. Caso contrário, a eliminação falha. Para mais informações, consulte o artigo Elimine uma entrada do mapa de certificados.

Consola

  1. Na Google Cloud consola, aceda à página Gestor de certificados.

    Aceda ao Gestor de certificados

  2. No separador Certificados, selecione a caixa de verificação do certificado que quer eliminar.

  3. Clique em Eliminar.

  4. Na caixa de diálogo apresentada, clique em Eliminar para confirmar.

gcloud

Para eliminar um certificado, use o certificate-manager certificates delete comando:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua o seguinte:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: a localização Google Cloud alvo. A localização predefinida é global. Esta flag é opcional.

API

Elimine o certificado fazendo um pedido DELETE ao método certificates.delete da seguinte forma:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • CERTIFICATE_NAME: o nome do certificado.

O que se segue?