Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS) (SSL). O Gerenciador de certificados oferece suporte aos seguintes tipos de certificados TLS (SSL):
- Os certificados gerenciados pelo Google são recebidos e gerenciados pelo Google Cloud para você. É possível criar os seguintes tipos de certificados gerenciados
pelo Google com o Gerenciador de certificados:
- Certificados globais
- Certificados gerenciados pelo Google com autorização do balanceador de carga
- Certificados gerenciados pelo Google com autorização de DNS
- Certificados gerenciados pelo Google com o Certificate Authority Service (serviço de CA)
- Certificados regionais
- Certificados regionais gerenciados pelo Google
- Certificados regionais gerenciados pelo Google com o serviço de CA
- Certificados globais
- Os certificados autogerenciados são conseguidos, provisionados e renovados por você.
Para mais informações sobre certificados, consulte Como o Gerenciador de certificados funciona.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos da CLI gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.
Criar um certificado gerenciado pelo Google com autorização do balanceador de carga
Para criar um certificado gerenciado pelo Google com autorização do balanceador de carga,
conclua as etapas nesta seção. Só é possível criar certificados gerenciados pelo Google com autorização do balanceador de carga no local global
.
Para especificar vários nomes de domínio para o certificado, forneça uma lista de nomes de domínio de destino separados por vírgulas.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.
Terraform
Para criar um certificado gerenciado pelo Google, use um
recurso google_certificate_manager_certificate
com um bloco managed
.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o certificado fazendo uma solicitação POST
ao
método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.
Para ter uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado gerenciado pelo Google com autorização de DNS
Para criar um certificado global gerenciado pelo Google com autorização de DNS, faça o seguinte:
- Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
- Configure um registro CNAME válido para o subdomínio de validação na zona de DNS do domínio de destino. Para instruções, consulte Como adicionar o registro CNAME à sua configuração de DNS.
- Conclua as etapas nesta seção.
É possível criar certificados regional
e global
gerenciados pelo Google.
Para informações sobre como criar um certificado regional
gerenciado pelo Google, consulte
Criar um certificado regional gerenciado pelo Google.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --dns-authorizations="AUTHORIZATION_NAMES"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAMES
: uma lista delimitada por vírgulas de nomes das autorizações de DNS que você criou para o certificado.
Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio de caractere curinga abrange todos os subdomínios de primeiro nível de um determinado domínio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" --dns-authorizations=AUTHORIZATION_NAME
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino do certificado. O prefixo de ponto asterisco (*.
) indica um certificado de caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para o certificado.
Terraform
Para criar um certificado gerenciado pelo Google com autorização de DNS, use um recurso google_certificate_manager_certificate
com o atributo dns_authorizations
no bloco managed
.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o certificado fazendo uma solicitação POST
ao
método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino do certificado. O prefixo de ponto asterisco (*.
) significa um certificado de caractere curinga. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome das autorizações de DNS que você criou para o certificado.
Para gerenciar certificados de forma independente em vários projetos, use a autorização de DNS por projeto (pré-lançamento). Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Como criar uma autorização de DNS.
Consulte Visão geral da implantação para saber mais sobre o processo de implantação do certificado.
Criar um certificado gerenciado pelo Google emitido pelo serviço de AC
Para criar um certificado gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção. É possível criar
certificados regional
e global
gerenciados pelo Google. Para informações
sobre como criar um certificado regional gerenciado pelo Google emitido pelo
serviço de CA, consulte
Criar um certificado regional gerenciado pelo Google emitido pelo serviço de CA.
Para concluir esta tarefa, é preciso ter os papéis a seguir no projeto de destino do Google Cloud:
Para mais informações sobre os comandos da CLI gcloud usados nesta seção, consulte a referência da CLI do Gerenciador de certificados.
Configurar a integração do CA Service com o Gerenciador de certificados
Se você ainda não tiver feito isso, configure o Gerenciador de certificados para fazer a integração com o serviço de CA, conforme descrito nesta seção. Se uma política de emissão de certificados estiver em vigor no pool de CAs de destino, o provisionamento de certificados poderá falhar por um dos seguintes motivos:
- A política de emissão de certificados bloqueou o certificado solicitado. Nesse caso, você não vai receber cobranças porque o certificado não foi emitido.
- A política aplicou alterações ao certificado que não são compatíveis com o gerenciador de certificados. Nesse caso, você ainda será cobrado porque o certificado foi emitido, mesmo que não seja totalmente compatível com o Gerenciador de certificados.
Para qualquer problema relacionado a restrições de políticas de emissão, consulte a página Solução de problemas.
Para configurar a integração do CA Service com o gerenciador de certificados, faça o seguinte:
- Ative a API CA Service.
- Criar um pool de CA.
- Crie uma AC e ative-a no pool de AC criado na etapa anterior.
- Conceda ao Gerenciador de certificados a capacidade de solicitar certificados
do pool de ACs de destino:
- Use o seguinte comando para criar uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Substitua
PROJECT_ID
pelo ID do projeto de destino do Google Cloud.O comando retorna o nome da conta de serviço criada. Exemplo:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
- Conceda à conta de serviço do Gerenciador de certificados o papel de "Solicitante do certificado" no pool de CAs de destino da seguinte maneira:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Substitua:
CA_POOL
: o ID do pool de ACs de destino.REGION
: a região de destino do Google Cloud.SERVICE_ACCOUNT
: o nome completo da conta de serviço que você criou na etapa 1.
Crie um recurso de configuração para emissão de certificados para o pool de AC:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Substitua:
ISSUANCE_CONFIG_NAME
: um nome exclusivo que identifica o recurso de configuração de emissão de certificados.CA_POOL
: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificado.CERTIFICATE_LIFETIME
: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D
). Essa configuração é opcional.ROTATION_WINDOW_PERCENTAGE
: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação à ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração. Essa configuração é opcional.KEY_ALGORITHM
: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O padrão érsa-2048
. Essa configuração é opcional.
Para mais informações sobre recursos de configuração de emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.
Crie um certificado gerenciado pelo Google emitido pela instância de serviço de CA
Crie um certificado gerenciado pelo Google emitido pela instância do serviço de AC da seguinte maneira:
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAMES
: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
API
Crie o certificado fazendo uma solicitação POST
ao
método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": ["ISSUANCE_CONFIG_NAME"], } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.DOMAIN_NAME
: o domínio de destino do certificado. O nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.
Consulte Visão geral da implantação para saber mais sobre o processo de implantação do certificado.
Criar um certificado regional gerenciado pelo Google emitido pelo serviço de AC
Para criar um certificado regional gerenciado pelo Google emitido por uma instância de serviço de CA sob seu controle, conclua as etapas nesta seção.
Configurar a integração do CA Service com o Gerenciador de certificados
Configure o Gerenciador de certificados para integração com o serviço de CA da seguinte maneira:
Crie uma conta de serviço do Gerenciador de certificados no projeto de destino do Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Substitua
PROJECT_ID
pelo ID do projeto de destino do Google Cloud.
O comando retorna o nome da identidade do serviço criada, conforme mostrado no exemplo a seguir:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Conceda à conta de serviço do Gerenciador de certificados o papel "Solicitante do certificado" no pool de CAs de destino da seguinte maneira:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Substitua:
CA_POOL
: o ID do pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.SERVICE_ACCOUNT
: o nome completo da conta de serviço que você criou na etapa 1.
Crie um recurso de configuração para emissão de certificados para o pool de AC:
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \
Substitua:
ISSUANCE_CONFIG_NAME
: o nome exclusivo do recurso de configuração de emissão de certificado.CA_POOL
: o caminho completo do recurso e o nome do pool de AC que você quer atribuir a esse recurso de configuração de emissão de certificado.LOCATION
: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.CERTIFICATE_LIFETIME
: a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O valor padrão é de 30 dias (30D
). Essa configuração é opcional.ROTATION_WINDOW_PERCENTAGE
: a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. Essa configuração é opcional. O valor padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.KEY_ALGORITHM
: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O valor padrão érsa-2048
. Essa configuração é opcional.DESCRIPTION
: uma descrição para o recurso de configuração de emissão de certificado. Essa configuração é opcional.
Para mais informações sobre recursos de configuração de emissão de certificados, consulte Gerenciar a configuração de emissão de certificados.
Criar um certificado regional gerenciado pelo Google emitido pelo serviço de CA
Crie um certificado regional gerenciado pelo Google emitido pelo serviço de CA usando o recurso de configuração de emissão de certificado criado na etapa anterior:
gcloud
Execute este comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAMES
: uma lista delimitada por vírgulas dos domínios de destino do certificado. Cada nome de domínio precisa ser totalmente qualificado, comomyorg.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.
API
Crie o certificado fazendo uma solicitação POST
ao
método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates? { certificate: { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino do certificado. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comoexample.com
,www.example.com
.ISSUANCE_CONFIG_NAME
: o nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.LOCATION
: o local de destino do Google Cloud. Especifique o mesmo local que o pool de ACs, o recurso de configuração de emissão de certificados e o certificado gerenciado.
Para ter uma visão geral do processo de implantação do certificado, consulte Visão geral da implantação.
Criar um certificado regional gerenciado pelo Google
Para criar um certificado gerenciado pelo Google com autorização de DNS, faça o seguinte:
- Crie as autorizações de DNS correspondentes que fazem referência a cada um dos nomes de domínio cobertos pelo certificado. Para instruções, consulte Como criar uma autorização de DNS.
- Configure um registro CNAME válido para o subdomínio de validação na zona de DNS do domínio de destino. Para instruções, consulte Como adicionar o registro CNAME à sua configuração de DNS.
- Conclua as etapas nesta seção.
É possível criar certificados regional
e global
gerenciados pelo Google.
Para informações sobre como criar um global
certificado gerenciado pelo Google, consulte Criar um certificado gerenciado pelo Google com autorização de DNS.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
Execute este comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino do certificado. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para o certificado.LOCATION
: o local em que você cria o certificado gerenciado pelo Google.
Para criar um certificado gerenciado pelo Google com um nome de domínio curinga, use o comando a seguir. Um certificado de nome de domínio caractere curinga cobre todos os subdomínios de primeiro nível de um determinado domínio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Substitua:
CERTIFICATE_NAME
: um nome exclusivo do certificado.DOMAIN_NAME
: o domínio de destino do certificado. O prefixo de ponto asterisco (*.
) significa um certificado de caractere curinga. O nome de domínio precisa ser um nome de domínio totalmente qualificado, comomyorg.example.com
.AUTHORIZATION_NAME
: o nome da autorização de DNS que você criou para o certificado.LOCATION
: o local em que você cria o certificado gerenciado pelo Google.
Fazer upload de um certificado autogerenciado
Para fazer upload de um certificado autogerenciado, conclua as etapas nesta seção. É possível fazer upload de certificados TLS (SSL) X.509 globais e regionais dos seguintes tipos:
- Certificados gerados por autoridades certificadoras (CAs) terceirizadas da sua escolha
- Certificados gerados por autoridades certificadoras sob seu controle
- Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado
Você precisa fazer o upload dos seguintes arquivos codificados no formato PEM:
- O arquivo do certificado (
.crt
) - O arquivo de chave privada correspondente (
.key
)
Consulte Visão geral da implantação para ver as etapas necessárias para começar a disponibilizar o certificado no balanceador de carga.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.CERTIFICATE_FILE
: o caminho e o nome do arquivo de certificado.crt
.PRIVATE_KEY_FILE
: o caminho e o nome do arquivo de chave privada.key
.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
Terraform
Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate
com o bloco self_managed
.
API
Faça upload do certificado fazendo uma solicitação POST
para o
método certificates.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.CERTIFICATE_NAME
: um nome exclusivo que descreve o certificado.PEM_CERTIFICATE
: o certificado PEM.PEM_KEY
: a chave PEM.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
Atualizar um certificado
Para atualizar um certificado atual sem modificar as atribuições para nomes de domínio no mapa de certificados correspondente, conclua as etapas desta seção. As SANs no novo certificado precisam corresponder exatamente às SANs do certificado atual.
Para certificados gerenciados pelo Google, só é possível atualizar os campos description
e labels
. Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:
- O arquivo do certificado (
.crt
) - O arquivo de chave privada correspondente (
.key
)
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.CERTIFICATE_FILE
: o caminho e o nome do arquivo de certificado.crt
.PRIVATE_KEY_FILE
: o caminho e o nome do arquivo de chave privada.key
.DESCRIPTION
: um valor de descrição exclusivo para o certificado.LABELS
: uma lista separada por vírgulas de rótulos aplicados a este certificado.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Atualize o certificado fazendo uma solicitação PATCH
para o
método certificates.patch
da seguinte maneira:
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.CERTIFICATE_NAME
: o nome do certificado de destino.PEM_CERTIFICATE
: o certificado PEM.PEM_KEY
: a chave PEM.DESCRIPTION
: uma descrição significativa para o certificado.LABEL_KEY
: uma chave de rótulo aplicada a este certificado.LABEL_VALUE
: um valor de rótulo aplicado a este certificado.
Listar certificados
Para fazer isso, siga as etapas desta seção. Por exemplo, é possível realizar as seguintes consultas:
- Listar certificados pelos nomes de domínio atribuídos
- Listar certificados expirados
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
Se você tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados no projeto, a página Gerenciador de certificados no console do Google Cloud não poderá listá-los. Nesses casos, use o comando da CLI gcloud para listar os certificados.
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados. Essa guia lista todos os certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
A guia Certificados clássicos lista os certificados no projeto selecionado que foram provisionados diretamente pelo Cloud Load Balancing. Eles não são gerenciados pelo gerenciador de certificados. Para instruções sobre como gerenciar esses certificados, consulte um dos seguintes artigos na documentação do Cloud Load Balancing:
gcloud
gcloud certificate-manager certificates list \ [--location="REGION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
REGION
: a região de destino do Google Cloud. Para listar certificados de todas as regiões, use-
como o valor. O padrão églobal
. Essa configuração é opcional.FILTER
: uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Prazo de validade:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nomes DNS SAN:
--filter='san_dnsnames:"example.com"'
- Estado do certificado:
--filter='managed.state=FAILED'
- Tipo de certificado:
--filter='managed:*'
- Marcadores e horário de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Prazo de validade:
Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
PAGE_SIZE
: o número de resultados a serem retornados por página.LIMIT
: o número máximo de resultados a serem retornados.SORT_BY
: uma lista delimitada por vírgulas de camposname
pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para a ordem decrescente, o prefixo do campo é~
.
API
Liste os certificados fazendo uma solicitação LIST
para o método certificates.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
REGION
: a região de destino do Google Cloud. Para listar certificados de todas as regiões, use-
como o valor.PROJECT_ID
: o ID do projeto de destino do Google Cloud.FILTER
: uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
: o número de resultados a serem retornados por página.SORT_BY
: uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira o prefixo~
no campo.
Conferir o estado de um certificado
Para visualizar o estado de um certificado atual, incluindo o estado de provisionamento e outras informações detalhadas, conclua as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
Se você tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados no projeto, a página Gerenciador de certificados no console do Google Cloud não poderá listá-los. Nesses casos, use o comando da CLI gcloud para listar os certificados. No entanto, se você tiver um link direto para a página Detalhes do certificado, acesse a página Gerenciador de certificados no console do Google Cloud e mostre esses detalhes.
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Certificados.
Na guia Certificados, acesse o certificado de destino e clique no nome dele.
A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.
Opcional: para ver a resposta REST da API Certificate Manager para esse certificado, clique em REST equivalente.
Opcional: se o certificado tiver uma configuração de emissão de certificado associada que você quer visualizar, no campo Configuração de emissão, clique no nome da configuração de emissão de certificado associada.
O console do Google Cloud exibe a configuração completa da configuração de emissão de certificados.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Confira o estado do certificado fazendo uma solicitação GET
ao
método certificates.get
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud.CERTIFICATE_NAME
: o nome do certificado de destino.
Excluir um certificado
Para excluir um certificado do Gerenciador de certificados, conclua as etapas nesta seção. Antes de excluir um certificado, ele precisa ser removido de todas as entradas de mapa de certificado que fazem referência a ele. Caso contrário, a exclusão vai falhar.
Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.
Clique em Excluir.
Na caixa de diálogo exibida, clique em Excluir para confirmar.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Substitua:
CERTIFICATE_NAME
: o nome do certificado de destino.REGION
: a região de destino do Google Cloud. O padrão églobal
. Essa configuração é opcional.
API
Exclua o certificado fazendo uma solicitação DELETE
para o método certificates.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.REGION
: a região de destino do Google Cloud.CERTIFICATE_NAME
: o nome do certificado de destino.
A seguir
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS
- Gerenciar a configuração de emissão de certificados