Cette page explique comment créer et gérer une configuration d'émission de certificats.
Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez la page Fonctionnement du gestionnaire de certificats.
N'oubliez pas que pour désactiver la dernière autorité de certification activée dans le pool d'autorités de certification référencé dans la configuration d'émission de certificats, ou pour supprimer complètement le pool référencé, vous devez d'abord supprimer chaque configuration d'émission de certificats qui fait référence à ce pool d'autorités de certification.
Pour savoir comment déployer un certificat avec le gestionnaire de certificats, consultez la section Présentation du déploiement.
Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez la documentation de référence de la CLI du gestionnaire de certificats.
Créer une configuration d'émission de certificats
Pour créer une configuration d'émission de certificats, suivez la procédure décrite dans cette section.
Gardez à l'esprit que même si vous utilisez un pool d'autorités de certification régional pour émettre un certificat TLS géré par Google, le certificat lui-même est mondial et peut être utilisé dans n'importe quelle région.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest un nom unique qui identifie cette ressource de configuration d'émission de certificats.CA_POOLest le chemin d'accès complet et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME(facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours. La valeur par défaut est de 30 jours.ROTATION_WINDOW_PERCENTAGE(facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement est déclenché. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.- Vous devez renouveler le certificat au moins sept jours complets à compter de son expiration.
KEY_ALGORITHM(facultatif) est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048.
API
Créez la configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAMEest un nom unique qui identifie cette ressource de configuration d'émission de certificats.DESCRIPTION(facultatif) est une description pertinente pour cette ressource de configuration d'émission de certificats.CA_POOLest le chemin d'accès complet et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME(facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée standard. La valeur par défaut est de 30 jours (30D).
ROTATION_WINDOW_PERCENTAGE(facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement est déclenché. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat afin que le renouvellement du certificat ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.KEY_ALGORITHMest l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048.
Mettre à jour une ressource de configuration d'émission de certificats
Pour mettre à jour une ressource de configuration d'émission de certificats, vous devez la supprimer et la recréer.
Répertorier les ressources de configuration d'émission de certificats
Pour répertorier les ressources de configuration d'émission de certificats, suivez les étapes décrites dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Remplacez les éléments suivants :
FILTERest une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats selon les critères suivants:- Libellés et date de création:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Pour découvrir d'autres exemples de filtrage que vous pouvez utiliser avec le gestionnaire de certificats, consultez la page Trier et filtrer les résultats d'une liste dans la documentation de Cloud Key Management Service.
- Libellés et date de création:
PAGE_SIZEest le nombre de résultats à renvoyer par page.LIMITest le nombre maximal de résultats à renvoyer.SORT_BYest une liste de champsnameséparés par une virgule, en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour l'ordre de tri décroissant, ajoutez un tilde (~) devant le champ.
API
Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.FILTERest une expression qui limite les résultats renvoyés à des valeurs spécifiques.PAGE_SIZEest le nombre de résultats à renvoyer par page.SORT_BYest une liste de noms de champs séparés par une virgule, en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour l'ordre de tri décroissant, ajoutez le préfixe~au champ.
Afficher l'état d'une configuration d'émission de certificats
Pour afficher l'état de la configuration d'émission d'un certificat, suivez la procédure décrite dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.
Cliquez sur la configuration d'émission de certificats que vous souhaitez afficher.
La console Google Cloud affiche les détails de la configuration d'émission des certificats.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cibles.
API
Affichez l'état de la configuration d'émission du certificat en envoyant une requête GET à la méthode certificateIssuanceConfigs.get comme suit:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG__NAMEest le nom de la configuration d'émission de certificats cibles.
Supprimer une configuration d'émission de certificats
Pour supprimer une configuration d'émission de certificats, suivez la procédure décrite dans cette section. Avant de supprimer une configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui la référence.
Pour effectuer cette tâche, vous devez disposer du rôle Propriétaire du gestionnaire de certificats sur le projet Google Cloud cible.
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Configurations d'émission, cochez la case de la configuration d'émission que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cibles.
API
Supprimez la configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete, comme suit:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cibles.
Étapes suivantes
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS