Halaman ini menjelaskan cara membuat dan mengelola konfigurasi penerbitan sertifikat.
Untuk mengetahui informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Cara kerja Certificate Manager.
Perlu diingat bahwa untuk menonaktifkan CA terakhir yang Anda aktifkan dalam kumpulan CA yang dirujuk dalam konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA yang dirujuk sepenuhnya, Anda harus terlebih dahulu menghapus setiap konfigurasi penerbitan sertifikat yang merujuk kumpulan CA tersebut.
Untuk mempelajari cara men-deploy sertifikat dengan Certificate Manager, lihat Ringkasan deployment.
Untuk mengetahui informasi selengkapnya tentang perintah gcloud
yang digunakan di halaman ini, lihat
referensi CLI Certificate Manager.
Membuat konfigurasi penerbitan sertifikat
Untuk membuat konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.
Perlu diingat bahwa meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat itu sendiri bersifat global dan dapat digunakan di region mana pun.
Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:
- Certificate Manager Editor
- Certificate Manager Owner
Untuk informasi selengkapnya, lihat Peran dan izin.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Ganti kode berikut:
ISSUANCE_CONFIG_NAME
adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.CA_POOL
adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.CERTIFICATE_LIFETIME
(opsional) adalah masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari. Defaultnya adalah 30 hari.ROTATION_WINDOW_PERCENTAGE
(opsional) adalah persentase masa berlaku sertifikat yang memicu perpanjangan. Defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.- Sertifikat harus diperpanjang 7 hari penuh atau lebih cepat sebelum masa berlakunya habis.
KEY_ALGORITHM
(opsional) adalah algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalahecdsa-p256
ataursa-2048
. Default-nya adalahrsa-2048
.
API
Buat konfigurasi penerbitan sertifikat dengan membuat permintaan POST
ke metode certificateIssuanceConfigs.create
sebagai berikut:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Ganti kode berikut:
PROJECT_ID
adalah ID project Google Cloud target.ISSUANCE_CONFIG_NAME
adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.DESCRIPTION
(opsional) adalah deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat ini.CA_POOL
adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.CERTIFICATE_LIFETIME
(opsional) adalah masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi standar. Defaultnya adalah 30 hari (30D
).
ROTATION_WINDOW_PERCENTAGE
(opsional) adalah persentase masa berlaku sertifikat yang memicu perpanjangan. Defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.KEY_ALGORITHM
adalah algoritma enkripsi yang digunakan untuk menghasilkan kunci pribadi. Nilai yang valid adalahecdsa-p256
ataursa-2048
. Default-nya adalahrsa-2048
.
Memperbarui resource konfigurasi penerbitan sertifikat
Untuk memperbarui resource konfigurasi penerbitan sertifikat, Anda harus menghapusnya dan membuatnya ulang.
Mencantumkan resource konfigurasi penerbitan sertifikat
Untuk mencantumkan resource konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.
Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
Untuk informasi selengkapnya, lihat Peran dan izin.
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Pada halaman yang muncul, pilih tab Issuance Configs. Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager dalam project yang dipilih.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Ganti kode berikut:
FILTER
adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu. Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:- Label dan waktu pembuatan:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Untuk mengetahui contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.
- Label dan waktu pembuatan:
PAGE_SIZE
adalah jumlah hasil yang akan ditampilkan per halaman.LIMIT
adalah jumlah hasil maksimum untuk ditampilkan.SORT_BY
adalah daftar kolomname
yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Tata urutan default adalah menaik; untuk urutan sortir menurun, awali kolom dengan tanda gelombang (~
).
API
Tampilkan daftar resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST
ke metode certificateIssuanceConfigs.list
sebagai berikut:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ganti kode berikut:
PROJECT_ID
adalah ID project Google Cloud target.FILTER
adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.PAGE_SIZE
adalah jumlah hasil yang akan ditampilkan per halaman.SORT_BY
adalah daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan penyortiran default adalah menaik; untuk urutan sortir menurun, awali kolom dengan~
.
Melihat status konfigurasi penerbitan sertifikat
Untuk melihat status konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.
Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
Untuk informasi selengkapnya, lihat Peran dan izin.
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Pada halaman yang muncul, pilih tab Issuance Configs. Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager dalam project yang dipilih.
Klik konfigurasi penerbitan sertifikat yang ingin Anda lihat.
Konsol Google Cloud menampilkan detail konfigurasi penerbitan sertifikat.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Ganti kode berikut:
ISSUANCE_CONFIG_NAME
adalah nama konfigurasi penerbitan sertifikat target.
API
Lihat status konfigurasi penerbitan sertifikat dengan membuat permintaan GET
ke metode certificateIssuanceConfigs.get
sebagai berikut:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ganti kode berikut:
PROJECT_ID
adalah ID project Google Cloud target.ISSUANCE_CONFIG__NAME
adalah nama konfigurasi penerbitan sertifikat target.
Menghapus konfigurasi penerbitan sertifikat
Untuk menghapus konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini. Sebelum menghapus konfigurasi penerbitan sertifikat, Anda harus terlebih dahulu menghapus sertifikat yang dikelola Google yang mereferensikannya.
Untuk menyelesaikan tugas ini, Anda harus memiliki peran Certificate Manager Owner di project Google Cloud target.
Untuk informasi selengkapnya, lihat Peran dan izin.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Ganti kode berikut:
ISSUANCE_CONFIG_NAME
adalah nama konfigurasi penerbitan sertifikat target.
API
Hapus konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE
ke metode certificateIssuanceConfigs.delete
sebagai berikut:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ganti kode berikut:
PROJECT_ID
adalah ID project Google Cloud target.ISSUANCE_CONFIG_NAME
adalah nama konfigurasi penerbitan sertifikat target.
Langkah selanjutnya
- Mengelola sertifikat
- Mengelola peta sertifikat
- Mengelola entri peta sertifikat
- Mengelola otorisasi DNS