Mengelola resource konfigurasi penerbitan sertifikat

Halaman ini menjelaskan cara membuat dan mengelola resource konfigurasi pemberian sertifikat.

Untuk informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Cara kerja Pengelola Sertifikat.

Membuat resource konfigurasi penerbitan sertifikat

Sebelum membuat resource konfigurasi penerbitan, konfigurasi integrasi Layanan CA dengan Pengelola Sertifikat.

Untuk membuat resource konfigurasi penerbitan sertifikat, tentukan masa berlaku sertifikat, persentase periode rotasi, algoritma kunci, dan kumpulan CA yang akan digunakan.

Meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat tersebut dapat digunakan secara global.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Issuance Configs, klik Create.

  3. Di kolom Name, masukkan nama unik untuk resource konfigurasi pemberian sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk konfigurasi penerbitan.

  5. Untuk Location, pilih Global atau Regional. Jika Anda memilih Regional, pilih Region yang sama dengan sertifikat dan kumpulan CA Anda.

  6. Di kolom Lifetime, tentukan masa berlaku sertifikat yang diterbitkan dalam hari. Nilai harus antara 21 hingga 30 hari (inklusif).

  7. Untuk Persentase periode rotasi, tentukan persentase masa aktif sertifikat saat proses perpanjangannya dimulai. Untuk menemukan rentang nilai yang valid, lihat Persentase periode Umur dan Rotasi.

  8. Dari daftar Key algorithm, pilih algoritma kunci yang akan digunakan saat membuat kunci pribadi.

  9. Dari daftar CA pool, pilih nama CA pool yang akan ditetapkan ke resource konfigurasi penerbitan sertifikat ini.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Buat.

gcloud

Untuk membuat resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • CA_POOL: jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut. Nilai defaultnya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat yang tersisa sebelum perpanjangan. Nilai defaultnya adalah 66%. Untuk menemukan rentang nilai yang valid, lihat [Persentase periode Umur dan Rotasi](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai defaultnya adalah rsa-2048. Flag ini bersifat opsional.
  • LOCATION: lokasi Google Cloud target.

API

Buat resource konfigurasi penerbitan sertifikat dengan membuat permintaan POST ke metode certificateIssuanceConfigs.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: lokasi Google Cloud target.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat.
  • CA_POOL: jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut. Nilai defaultnya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat yang tersisa sebelum perpanjangan. Nilai defaultnya adalah 66%. Untuk menemukan rentang nilai yang valid, lihat [Persentase periode Umur dan Rotasi](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai defaultnya adalah rsa-2048. Flag ini bersifat opsional.

Persentase periode aktif dan periode rotasi

Saat membuat resource konfigurasi penerbitan sertifikat, Anda juga menentukan masa berlaku sertifikat di kolom Masa berlaku, dan kapan proses perpanjangan sertifikat dimulai sebelum masa berlakunya berakhir di kolom Persentase periode rotasi.

Untuk memastikan sertifikat diperpanjang setidaknya tujuh hari sebelum masa berlakunya berakhir dan tujuh hari setelah penerbitannya, tetapkan persentase periode rotasi secara relatif terhadap masa berlaku sertifikat. Untuk menghitung rentang yang diizinkan untuk persentase periode rotasi, gunakan formula berikut:

  • Nilai minimum: Persentase periode rotasi ≥ (7 / Masa Aktif) * 100
  • Nilai maksimum: Persentase periode rotasi ≤ ( (Masa aktif - 7) / Masa aktif) * 100

Dalam formula sebelumnya, 7 adalah tujuh hari.

Jika nilai minimum adalah nilai desimal, bulatkan ke atas ke bilangan bulat terdekat. Jika nilai maksimum adalah nilai desimal, bulatkan ke bawah ke bilangan bulat terdekat.

Mencantumkan konfigurasi penerbitan sertifikat

Anda dapat melihat semua resource konfigurasi penerbitan sertifikat project Anda dan detailnya.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Issuance Configs. Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Pengelola Sertifikat dalam project yang dipilih.

gcloud

Untuk mencantumkan resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Ganti kode berikut:

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT: jumlah maksimum hasil yang akan ditampilkan.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

  • LOCATION: lokasi Google Cloud target.

API

Cantumkan resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST ke metode certificateIssuanceConfigs.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

Melihat status resource konfigurasi penerbitan sertifikat

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Issuance Configs.

  3. Klik nama resource konfigurasi penerbitan sertifikat yang ingin Anda lihat. Konsol Google Cloud menampilkan detail resource konfigurasi penerbitan sertifikat.

gcloud

Untuk melihat status resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ganti ISSUANCE_CONFIG_NAME dengan nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

API

Lihat status resource konfigurasi penerbitan sertifikat dengan membuat permintaan GET ke metode certificateIssuanceConfigs.get sebagai berikut:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Menghapus resource konfigurasi penerbitan sertifikat

Sebelum menghapus resource konfigurasi penerbitan sertifikat, Anda harus menghapus sertifikat yang dikelola Google yang mereferensikan sertifikat tersebut terlebih dahulu.

Untuk menonaktifkan CA terakhir yang Anda aktifkan dalam kumpulan CA yang dirujuk dalam resource konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA sepenuhnya, Anda harus menghapus semua resource konfigurasi penerbitan sertifikat yang merujuk kumpulan CA terlebih dahulu.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Issuance Configs, centang kotak konfigurasi penerbitan yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Delete untuk mengonfirmasi.

gcloud

Untuk menghapus resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • LOCATION: lokasi Google Cloud target.

API

Hapus resource konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE ke metode certificateIssuanceConfigs.delete sebagai berikut:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Langkah berikutnya