Gerenciar certificados

Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS) (SSL). O Gerenciador de certificados oferece suporte aos seguintes tipos de certificados TLS (SSL):

  • Os certificados gerenciados pelo Google são recebidos e gerenciados pelo Google Cloud para você. É possível criar os seguintes tipos de certificados gerenciados pelo Google com o Gerenciador de certificados:
    • Certificados globais
      • Certificados gerenciados pelo Google com autorização do balanceador de carga
      • Certificados gerenciados pelo Google com autorização de DNS
      • Certificados gerenciados pelo Google com o Certificate Authority Service (serviço de CA)
    • Certificados regionais
      • Certificados regionais gerenciados pelo Google
      • Certificados regionais gerenciados pelo Google com o serviço de CA
  • Os certificados autogerenciados são conseguidos, provisionados e renovados por você.

Para mais informações sobre certificados, consulte Como o Gerenciador de certificados funciona.

Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos da CLI gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar um certificado gerenciado pelo Google com autorização do balanceador de carga

Para criar um certificado gerenciado pelo Google com autorização do balanceador de carga, conclua as etapas nesta seção. Só é possível criar certificados gerenciados pelo Google com autorização do balanceador de carga no local global.

Para especificar vários nomes de domínio para o certificado, forneça uma lista de nomes de domínio de destino separados por vírgulas.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

Terraform

Para criar um certificado gerenciado pelo Google, use um recurso google_certificate_manager_certificate com um bloco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

Para ter uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado gerenciado pelo Google com autorização de DNS

Para criar um certificado global gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona de DNS do domínio de destino. Para instruções, consulte Como adicionar o registro CNAME à sua configuração de DNS.
  3. Conclua as etapas nesta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado regional gerenciado pelo Google, consulte Criar um certificado regional gerenciado pelo Google.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAMES: uma lista delimitada por vírgulas de nomes das autorizações de DNS que você criou para o certificado.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio de caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" --dns-authorizations=AUTHORIZATION_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O prefixo de ponto asterisco (*.) indica um certificado de caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para o certificado.

Terraform

Para criar um certificado gerenciado pelo Google com autorização de DNS, use um recurso google_certificate_manager_certificate com o atributo dns_authorizations no bloco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O prefixo de ponto asterisco (*.) significa um certificado de caractere curinga. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome das autorizações de DNS que você criou para o certificado.

Para gerenciar certificados de forma independente em vários projetos, use a autorização de DNS por projeto (pré-lançamento). Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Como criar uma autorização de DNS.

Consulte Visão geral da implantação para saber mais sobre o processo de implantação do certificado.

Criar um certificado gerenciado pelo Google emitido pelo serviço de AC

Para criar um certificado gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção. É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um certificado regional gerenciado pelo Google emitido pelo serviço de CA, consulte Criar um certificado regional gerenciado pelo Google emitido pelo serviço de CA.

Para concluir esta tarefa, é preciso ter os papéis a seguir no projeto de destino do Google Cloud:

Para mais informações sobre os comandos da CLI gcloud usados nesta seção, consulte a referência da CLI do Gerenciador de certificados.

Configurar a integração do CA Service com o Gerenciador de certificados

Se você ainda não tiver feito isso, configure o Gerenciador de certificados para fazer a integração com o serviço de CA, conforme descrito nesta seção. Se uma política de emissão de certificados estiver em vigor no pool de CAs de destino, o provisionamento de certificados poderá falhar por um dos seguintes motivos:

  • A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber cobranças porque o certificado não foi emitido.
  • A política aplicou alterações ao certificado que não são compatíveis com o gerenciador de certificados. Nesse caso, você ainda será cobrado porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.

Para qualquer problema relacionado a restrições de políticas de emissão, consulte a página Solução de problemas.

Para configurar a integração do CA Service com o gerenciador de certificados, faça o seguinte:

  • Conceda ao Gerenciador de certificados a capacidade de solicitar certificados do pool de ACs de destino:
    1. Use o seguinte comando para criar uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de destino do Google Cloud.

    O comando retorna o nome da conta de serviço criada. Exemplo:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Conceda à conta de serviço do Gerenciador de certificados o papel de "Solicitante do certificado" no pool de CAs de destino da seguinte maneira:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Substitua:

    • CA_POOL: o ID do pool de ACs de destino.
    • REGION: a região de destino do Google Cloud.
    • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na etapa 1.

  1. Crie um recurso de configuração para emissão de certificados para o pool de AC:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Substitua:

    • ISSUANCE_CONFIG_NAME: um nome exclusivo que identifica o recurso de configuração de emissão de certificados.
    • CA_POOL: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificado.
    • CERTIFICATE_LIFETIME: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D). Essa configuração é opcional.
    • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação à ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração. Essa configuração é opcional.
    • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048. Essa configuração é opcional.

    Para mais informações sobre recursos de configuração de emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.

Crie um certificado gerenciado pelo Google emitido pela instância de serviço de CA

Crie um certificado gerenciado pelo Google emitido pela instância do serviço de AC da seguinte maneira:

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

Consulte Visão geral da implantação para saber mais sobre o processo de implantação do certificado.

Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC

Para criar um certificado regional gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção.

Configurar a integração do CA Service com o Gerenciador de certificados

Configure o Gerenciador de certificados para integração com o serviço de CA da seguinte maneira:

  1. Crie uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Substitua PROJECT_ID pelo ID do projeto de destino do Google Cloud.

O comando retorna o nome da identidade do serviço criada, conforme mostrado no exemplo a seguir:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Conceda à conta de serviço do Gerenciador de certificados o papel "Solicitante do certificado" no pool de CAs de destino da seguinte maneira:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Substitua:

    • CA_POOL: o ID do pool de ACs de destino.
    • LOCATION: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.
    • SERVICE_ACCOUNT: o nome completo da conta de serviço que você criou na etapa 1.

  2. Crie um recurso de configuração para emissão de certificados para o pool de AC:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Substitua:

    • ISSUANCE_CONFIG_NAME: o nome exclusivo do recurso de configuração de emissão de certificado.
    • CA_POOL: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a esse recurso de configuração de emissão de certificado.
    • LOCATION: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.
    • CERTIFICATE_LIFETIME: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O valor padrão é de 30 dias (30D). Essa configuração é opcional.
    • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. Essa configuração é opcional. O valor padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.
    • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa configuração é opcional.
    • DESCRIPTION: uma descrição para o recurso de configuração de emissão de certificado. Essa configuração é opcional.

Para mais informações sobre recursos de configuração de emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.

Criar um certificado regional gerenciado pelo Google emitido pelo serviço de CA

Crie um certificado regional gerenciado pelo Google emitido pelo serviço de CA usando o recurso de configuração de emissão de certificado criado na etapa anterior:

gcloud

Execute este comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como example.com, www.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
  • LOCATION: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.

Para ter uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.

Criar um certificado regional gerenciado pelo Google

Para criar um certificado gerenciado pelo Google com autorização de DNS, faça o seguinte:

  1. Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
  2. Configure um registro CNAME válido para o subdomínio de validação na zona de DNS do domínio de destino. Para instruções, consulte Como adicionar o registro CNAME à sua configuração de DNS.
  3. Conclua as etapas nesta seção.

É possível criar certificados regional e global gerenciados pelo Google. Para informações sobre como criar um global certificado gerenciado pelo Google, consulte Criar um certificado gerenciado pelo Google com autorização de DNS.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

Execute este comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para o certificado.
  • LOCATION: o local em que você cria o certificado gerenciado pelo Google.

Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio caractere curinga cobre todos os subdomínios de primeiro nível de um determinado domínio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo do certificado.
  • DOMAIN_NAME: o domínio de destino do certificado. O prefixo de ponto asterisco (*.) significa um certificado de caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com.
  • AUTHORIZATION_NAME: o nome da autorização de DNS que você criou para o certificado.
  • LOCATION: o local em que você cria o certificado gerenciado pelo Google.

Fazer upload de um certificado autogerenciado

Para fazer upload de um certificado autogerenciado, conclua as etapas nesta seção. É possível fazer upload de certificados TLS (SSL) X.509 globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades certificadoras (CAs) terceirizadas da sua escolha
  • Certificados gerados por autoridades certificadoras sob seu controle
  • Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado

Você precisa fazer o upload dos seguintes arquivos codificados no formato PEM:

  • O arquivo do certificado (.crt)
  • O arquivo de chave privada correspondente (.key)

Consulte Visão geral da implantação para ver as etapas necessárias para começar a disponibilizar o certificado no balanceador de carga.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado .crt.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada .key.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça upload do certificado fazendo uma solicitação POST para o método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_NAME: um nome exclusivo que descreve o certificado.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

Atualizar um certificado

Para atualizar um certificado atual sem modificar as atribuições para nomes de domínio no mapa de certificados correspondente, conclua as etapas desta seção. As SANs no novo certificado precisam corresponder exatamente às SANs do certificado atual.

Para certificados gerenciados pelo Google, só é possível atualizar os campos description e labels. Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:

  • O arquivo do certificado (.crt)
  • O arquivo de chave privada correspondente (.key)

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado .crt.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada .key.
  • DESCRIPTION: um valor de descrição exclusivo para o certificado.
  • LABELS: uma lista separada por vírgulas de rótulos aplicados a este certificado.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Atualize o certificado fazendo uma solicitação PATCH para o método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.
  • CERTIFICATE_NAME: o nome do certificado de destino.
  • PEM_CERTIFICATE: o certificado PEM.
  • PEM_KEY: a chave PEM.
  • DESCRIPTION: uma descrição significativa para o certificado.
  • LABEL_KEY: uma chave de rótulo aplicada a este certificado.
  • LABEL_VALUE: um valor de rótulo aplicado a este certificado.

Listar certificados

Para fazer isso, siga as etapas desta seção. Por exemplo, é possível realizar as seguintes consultas:

  • Listar certificados pelos nomes de domínio atribuídos
  • Listar certificados expirados

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados no projeto, a página Gerenciador de certificados no console do Google Cloud não poderá listá-los. Nesses casos, use o comando da CLI gcloud para listar os certificados.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados. Essa guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

A guia Certificados clássicos lista os certificados no projeto selecionado que foram provisionados diretamente pelo Cloud Load Balancing. Eles não são gerenciados pelo gerenciador de certificados. Para instruções sobre como gerenciar esses certificados, consulte um dos seguintes artigos na documentação do Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • REGION: a região de destino do Google Cloud. Para listar certificados de todas as regiões, use - como o valor. O padrão é global. Essa configuração é opcional.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:
    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.
  • LIMIT: o número máximo de resultados a serem retornados.
  • SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para a ordem decrescente, o prefixo do campo é ~.

API

Liste os certificados fazendo uma solicitação LIST para o método certificates.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • REGION: a região de destino do Google Cloud. Para listar certificados de todas as regiões, use - como o valor.
  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE: o número de resultados a serem retornados por página.
  • SORT_BY: uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira o prefixo ~ no campo.

Conferir o estado de um certificado

Para visualizar o estado de um certificado atual, incluindo o estado de provisionamento e outras informações detalhadas, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

Se você tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados no projeto, a página Gerenciador de certificados no console do Google Cloud não poderá listá-los. Nesses casos, use o comando da CLI gcloud para listar os certificados. No entanto, se você tiver um link direto para a página Detalhes do certificado, acesse a página Gerenciador de certificados no console do Google Cloud e mostre esses detalhes.

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Na guia Certificados, acesse o certificado de destino e clique no nome dele.

A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  1. Opcional: para ver a resposta REST da API Certificate Manager para esse certificado, clique em REST equivalente.

  2. Opcional: se o certificado tiver uma configuração de emissão de certificado associada que você quer visualizar, no campo Configuração de emissão, clique no nome da configuração de emissão de certificado associada.

    O console do Google Cloud exibe a configuração completa da configuração de emissão de certificados.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Confira o estado do certificado fazendo uma solicitação GET ao método certificates.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

Excluir um certificado

Para excluir um certificado do Gerenciador de certificados, conclua as etapas nesta seção. Antes de excluir um certificado, ele precisa ser removido de todas as entradas de mapa de certificado que fazem referência a ele. Caso contrário, a exclusão vai falhar.

Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado de destino.
  • REGION: a região de destino do Google Cloud. O padrão é global. Essa configuração é opcional.

API

Exclua o certificado fazendo uma solicitação DELETE para o método certificates.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • REGION: a região de destino do Google Cloud.
  • CERTIFICATE_NAME: o nome do certificado de destino.

A seguir