Gerenciar recursos de configuração de emissão de certificados

Esta página descreve como criar e gerenciar um recurso de configuração de emissão de certificados.

Para mais informações sobre os recursos de configuração de emissão de certificados, consulte Como funciona o Gerenciador de certificados.

Criar um recurso de configuração de emissão de certificados

Antes de criar o recurso de configuração de emissão, configure a integração do serviço de AC com o Certificate Manager.

Para criar um recurso de configuração de emissão de certificados, especifique a duração do certificado, a porcentagem do período de rotação, o algoritmo de chave e o pool de AC a ser usado.

Mesmo que você use um pool de AC regional para emitir um certificado TLS gerenciado pelo Google, ele pode ser usado globalmente.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Issuance Configs, clique em Create.

  3. No campo Nome, insira um nome exclusivo para o recurso de configuração de emissão de certificados.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.

  5. Em Local, selecione Global ou Regional. Se você selecionou Regional, escolha a mesma Região do certificado e do pool de ACs.

  6. No campo Lifetime, especifique o ciclo de vida do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  7. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação dele começar. Para encontrar o intervalo de valores válidos, consulte Percentagem de janela de vida útil e rotação.

  8. Na lista Algoritmo de chave, selecione o algoritmo de chave a ser usado ao gerar a chave privada.

  9. Na lista Pool de AC, selecione o nome do pool de AC a ser atribuído a este recurso de configuração de emissão de certificados.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

gcloud

Para criar um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • CA_POOL: o caminho completo do recurso e o nome do pool de AC que você quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: a validade do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Porcentagem de janela de vida útil e rotação](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.
  • LOCATION: o local Google Cloud de destino.

API

Crie o recurso de configuração de emissão de certificado fazendo uma solicitação POST para o método certificateIssuanceConfigs.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: o local Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • DESCRIPTION: uma descrição significativa para o recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho completo do recurso e o nome do pool de AC que você quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: a validade do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Porcentagem de janela de vida útil e rotação](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.

Ciclo de vida e porcentagem da janela de rotação

Ao criar um recurso de configuração de emissão de certificados, você também define o ciclo de vida do certificado no campo Lifetime e quando o processo de renovação do certificado começa antes da expiração no campo Rotation window percentage.

Para garantir que o certificado seja renovado pelo menos sete dias antes do vencimento e sete dias após a emissão, defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado. Para calcular o intervalo permitido para a porcentagem da janela de rotação, use as seguintes fórmulas:

  • Valor mínimo: porcentagem da janela de rotação ≥ (7 / ciclo de vida) * 100
  • Valor máximo: porcentagem da janela de rotação ≤ ( (Lifetime - 7) / Lifetime) * 100

Nas fórmulas anteriores, 7 é de sete dias.

Se o valor mínimo for decimal, arredonde-o para cima até o número inteiro mais próximo. Se o valor máximo for decimal, arredonde-o para baixo até o número inteiro mais próximo.

Listar configurações de emissão de certificados

Você pode conferir todos os recursos de configuração de emissão de certificados do seu projeto e os detalhes deles.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Configurações de emissão. A guia lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

gcloud

Para listar os recursos de configuração de emissão de certificados, use o comando certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Substitua:

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pelo horário de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • LIMIT: o número máximo de resultados a serem retornados.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo com um til (~).

  • LOCATION: o local Google Cloud de destino.

API

Liste os recursos de configuração de emissão de certificados configurados fazendo uma solicitação LIST para o método certificateIssuanceConfigs.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pela hora de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo com um til (~).

Conferir o estado de um recurso de configuração de emissão de certificados

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Configurações de emissão.

  3. Clique no nome do recurso de configuração de emissão de certificado que você quer consultar. O console do Google Cloud mostra os detalhes do recurso de configuração de emissão de certificados.

gcloud

Para conferir o estado de um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua ISSUANCE_CONFIG_NAME pelo nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

API

Para conferir o estado do recurso de configuração de emissão de certificados, faça uma solicitação GET para o método certificateIssuanceConfigs.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

Excluir um recurso de configuração de emissão de certificados

Antes de excluir um recurso de configuração de emissão de certificados, é necessário excluir o certificado gerenciado do Google que se refere a ele.

Para desativar a última AC ativada em um pool de ACs referenciado no recurso de configuração de emissão de certificados ou para excluir o pool de ACs por completo, primeiro exclua todos os recursos de configuração de emissão de certificados que fazem referência ao pool de ACs.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de emissão, marque a caixa de seleção da configuração de emissão que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Para excluir um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o local Google Cloud de destino.

API

Exclua o recurso de configuração de emissão de certificado fazendo uma solicitação DELETE para o método certificateIssuanceConfigs.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

A seguir