Kelola konfigurasi penerbitan sertifikat

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi penerbitan sertifikat.

Untuk mengetahui informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Cara kerja Certificate Manager.

Perlu diingat bahwa untuk menonaktifkan CA terakhir yang Anda aktifkan dalam kumpulan CA yang dirujuk dalam konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA yang dirujuk sepenuhnya, Anda harus terlebih dahulu menghapus setiap konfigurasi penerbitan sertifikat yang merujuk kumpulan CA tersebut.

Untuk mempelajari cara men-deploy sertifikat dengan Certificate Manager, lihat Ringkasan deployment.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud yang digunakan di halaman ini, lihat referensi CLI Certificate Manager.

Membuat konfigurasi penerbitan sertifikat

Untuk membuat konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Perlu diingat bahwa meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat itu sendiri bersifat global dan dapat digunakan di region mana pun.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.
  • CA_POOL adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
  • CERTIFICATE_LIFETIME (opsional) adalah masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari. Defaultnya adalah 30 hari.
  • ROTATION_WINDOW_PERCENTAGE (opsional) adalah persentase masa berlaku sertifikat yang memicu perpanjangan. Defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.
    • Sertifikat harus diperpanjang 7 hari penuh atau lebih cepat sebelum masa berlakunya habis.
  • KEY_ALGORITHM (opsional) adalah algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Default-nya adalah rsa-2048.

API

Buat konfigurasi penerbitan sertifikat dengan membuat permintaan POST ke metode certificateIssuanceConfigs.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG_NAME adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.
  • DESCRIPTION (opsional) adalah deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat ini.
  • CA_POOL adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
    • CERTIFICATE_LIFETIME (opsional) adalah masa berlaku sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi standar. Defaultnya adalah 30 hari (30D).
  • ROTATION_WINDOW_PERCENTAGE (opsional) adalah persentase masa berlaku sertifikat yang memicu perpanjangan. Defaultnya adalah 66 persen. Anda harus menetapkan persentase periode rotasi dalam kaitannya dengan masa aktif sertifikat, sehingga perpanjangan sertifikat terjadi setidaknya 7 hari setelah sertifikat diterbitkan dan setidaknya 7 hari sebelum masa berlaku sertifikat berakhir.
  • KEY_ALGORITHM adalah algoritma enkripsi yang digunakan untuk menghasilkan kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Default-nya adalah rsa-2048.

Memperbarui resource konfigurasi penerbitan sertifikat

Untuk memperbarui resource konfigurasi penerbitan sertifikat, Anda harus menghapusnya dan membuatnya ulang.

Mencantumkan resource konfigurasi penerbitan sertifikat

Untuk mencantumkan resource konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Pada halaman yang muncul, pilih tab Issuance Configs. Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager dalam project yang dipilih.

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ganti kode berikut:

  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu. Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:

    • Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk mengetahui contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT adalah jumlah hasil maksimum untuk ditampilkan.

  • SORT_BY adalah daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Tata urutan default adalah menaik; untuk urutan sortir menurun, awali kolom dengan tanda gelombang (~).

API

Tampilkan daftar resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST ke metode certificateIssuanceConfigs.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.
  • SORT_BY adalah daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan penyortiran default adalah menaik; untuk urutan sortir menurun, awali kolom dengan ~.

Melihat status konfigurasi penerbitan sertifikat

Untuk melihat status konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Pada halaman yang muncul, pilih tab Issuance Configs. Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager dalam project yang dipilih.

  3. Klik konfigurasi penerbitan sertifikat yang ingin Anda lihat.

Konsol Google Cloud menampilkan detail konfigurasi penerbitan sertifikat.

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

API

Lihat status konfigurasi penerbitan sertifikat dengan membuat permintaan GET ke metode certificateIssuanceConfigs.get sebagai berikut:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG__NAME adalah nama konfigurasi penerbitan sertifikat target.

Menghapus konfigurasi penerbitan sertifikat

Untuk menghapus konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini. Sebelum menghapus konfigurasi penerbitan sertifikat, Anda harus terlebih dahulu menghapus sertifikat yang dikelola Google yang mereferensikannya.

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Certificate Manager Owner di project Google Cloud target.

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

API

Hapus konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE ke metode certificateIssuanceConfigs.delete sebagai berikut:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

Langkah selanjutnya