Nesta página, descrevemos como criar e gerenciar uma configuração de emissão de certificados.
Para mais informações sobre os recursos de configuração para emissão de certificados, consulte Como o Gerenciador de certificados funciona.
Lembre-se de que, para desativar a última AC ativada no pool de AC referenciado na configuração de emissão de certificados ou excluir o pool de AC referenciado, primeiro é necessário excluir todas as configurações de emissão de certificado que fazem referência a esse pool de AC.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos gcloud usados nesta página, consulte a
referência da CLI do Gerenciador de certificados.
Criar uma configuração de emissão de certificados
Para criar uma configuração de emissão de certificados, conclua as etapas nesta seção.
Lembre-se de que, mesmo que você esteja usando um pool de ACs regional para emitir um certificado TLS gerenciado pelo Google, o certificado em si é global e pode ser usado em qualquer região.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Substitua:
ISSUANCE_CONFIG_NAMEé um nome exclusivo que identifica esse recurso de configuração de emissão de certificado.CA_POOLé o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a este recurso de configuração de emissão de certificados.CERTIFICATE_LIFETIME(opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias. O padrão é 30 dias.ROTATION_WINDOW_PERCENTAGE(opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.- O certificado precisa ser renovado sete dias completos ou menos, a partir da data de validade.
KEY_ALGORITHM(opcional) é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256oursa-2048. O padrão érsa-2048.
API
Crie a configuração de emissão de certificados fazendo uma solicitação POST ao método certificateIssuanceConfigs.create da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Substitua:
PROJECT_IDé o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG_NAMEé um nome exclusivo que identifica esse recurso de configuração de emissão de certificado.DESCRIPTION(opcional) é uma descrição significativa para este recurso de configuração de emissão de certificados.CA_POOLé o caminho completo do recurso e o nome do pool de ACs que você quer atribuir a este recurso de configuração de emissão de certificados.CERTIFICATE_LIFETIME(opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D).
ROTATION_WINDOW_PERCENTAGE(opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e pelo menos sete dias antes da expiração.KEY_ALGORITHMé o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256oursa-2048. O padrão érsa-2048.
Atualizar um recurso de configuração de emissão de certificados
Para atualizar um recurso de configuração de emissão de certificados, é necessário excluir e recriá-lo.
Listar recursos de configuração de emissão de certificados
Para listar os recursos de configuração de emissão de certificados, conclua as etapas desta seção.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Configurações de emissão. Essa guia lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Substitua:
FILTERé uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, filtre os resultados pelos seguintes critérios:- Marcadores e data/hora de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para ver mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Marcadores e data/hora de criação:
PAGE_SIZEé o número de resultados a serem retornados por página.LIMITé o número máximo de resultados a serem retornados.SORT_BYé uma lista delimitada por vírgulas de camposnamepelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, prefixe o campo com um til (~).
API
Faça uma solicitação LIST ao método certificateIssuanceConfigs.list para listar os recursos de configuração de emissão de certificado configurados da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_IDé o ID do projeto de destino do Google Cloud.FILTERé uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZEé o número de resultados a serem retornados por página.SORT_BYé uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, inclua~como prefixo do campo.
Ver o estado de uma configuração de emissão de certificados
Para conferir o estado de uma configuração de emissão de certificados, siga as etapas nesta seção.
Para concluir esta tarefa, é preciso ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Configurações de emissão. Essa guia lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
Clique na configuração de emissão de certificados que você quer consultar.
O console do Google Cloud exibe os detalhes de configuração da emissão de certificados.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Substitua:
ISSUANCE_CONFIG_NAMEé o nome da configuração de emissão do certificado de destino.
API
Visualize o estado da configuração de emissão de certificado fazendo uma solicitação GET ao método certificateIssuanceConfigs.get da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Substitua:
PROJECT_IDé o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG__NAMEé o nome da configuração de emissão do certificado de destino.
Excluir uma configuração de emissão de certificados
Para excluir uma configuração de emissão de certificados, conclua as etapas nesta seção. Antes de excluir uma configuração de emissão de certificado, primeiro exclua o certificado gerenciado pelo Google que faz referência a ela.
Para concluir esta tarefa, é preciso ter o papel de proprietário do gerenciador de certificados no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na guia Configurações de emissão, marque a caixa de seleção da configuração de emissão que você quer excluir.
Clique em Excluir.
Na caixa de diálogo exibida, clique em Excluir para confirmar.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Substitua:
ISSUANCE_CONFIG_NAMEé o nome da configuração de emissão do certificado de destino.
API
Exclua a configuração de emissão de certificado fazendo uma solicitação DELETE ao método certificateIssuanceConfigs.delete da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Substitua:
PROJECT_IDé o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG_NAMEé o nome da configuração de emissão do certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS