管理证书颁发配置

本页面介绍了如何创建和管理证书颁发配置。

如需详细了解证书颁发配置资源,请参阅 Certificate Manager 的工作原理

请记住,要停用您在 证书颁发配置,或要将引用的 CA 池完全删除,则必须 请先删除引用该 CA 池的所有证书颁发配置。

如需了解如何使用 Certificate Manager 部署证书, 请参阅部署概览

如需详细了解本页中使用的 gcloud 命令,请参阅 Certificate Manager CLI 参考文档

创建证书颁发配置

如需创建证书颁发配置,请完成本部分中的步骤。

请注意,即使您使用区域级 CA 池来发出由 Google 管理的 传输层安全协议 (TLS) 证书,那么证书本身是全球性的,可以在任何区域使用。

要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:

  • Certificate Manager Editor
  • Certificate Manager Owner

如需了解详情,请参阅角色和权限

控制台

  1. 在 Google Cloud 控制台中,前往 Certificate Manager 页面。

    前往“证书管理器”

  2. Issuance Configs(发布配置)标签页上,点击 Create(创建)。

  3. 名称字段中,为证书颁发配置输入一个唯一名称。

  4. 可选:在说明字段中,输入发布配置的说明。

  5. 对于位置,选择全球区域级

    如果您选择了区域,则请选择区域

  6. 生命周期字段中,指定已颁发证书的生命周期(以天为单位)。该值必须介于 21 到 30 天(含)之间。

  7. 轮替窗口百分比中,指定证书续订流程开始时证书有效期的百分比。要查找有效值范围,请参阅生命周期和轮播窗口百分比

  8. 密钥算法列表中,选择生成私钥时使用的密钥算法。

  9. CA 池列表中,选择要分配给此证书颁发配置的 CA 池的名称。

  10. 标签字段中,指定要与证书关联的标签。如需添加标签,请点击 添加标签,然后为标签指定 keyvalue

  11. 点击创建

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

替换以下内容:

  • ISSUANCE_CONFIG_NAME 是用于标识此证书颁发配置资源的唯一名称。
  • CA_POOL 是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。
  • CERTIFICATE_LIFETIME(可选)是证书生命周期(以天为单位)。有效值为 21 至 30 天。默认值为 30 天。
  • ROTATION_WINDOW_PERCENTAGE(可选)是证书续订流程开始时在证书有效期内所占的百分比。默认值为 66%。要查找有效值范围,请参阅生命周期和轮播窗口百分比
  • KEY_ALGORITHM(可选)是用于生成私钥的加密算法。有效值为 ecdsa-p256rsa-2048。默认值为 rsa-2048

API

certificateIssuanceConfigs.create 发出 POST 请求以创建证书颁发配置 方法:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

替换以下内容:

  • PROJECT_ID 是目标 Google Cloud 项目的 ID。
  • ISSUANCE_CONFIG_NAME 是用于标识此证书颁发配置资源的唯一名称。
  • DESCRIPTION(可选)是对此证书颁发配置资源的有意义的说明。
  • CA_POOL 是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。
    • CERTIFICATE_LIFETIME(可选)是证书生命周期(以天为单位)。有效值为 标准时长格式。默认值为 30 天 (30D)。
  • ROTATION_WINDOW_PERCENTAGE(可选)是在证书有效期内从证书续订流程开始的时间百分比。默认值为 66%。要查找有效值范围,请参阅生命周期和轮播窗口百分比
  • KEY_ALGORITHM 是用于生成私钥的加密算法。有效值为 ecdsa-p256rsa-2048。默认值为 rsa-2048

生命周期和轮替窗口百分比

创建证书颁发配置时,您还需要在生命周期字段中定义证书的生命周期,以及在轮替窗口百分比字段中定义证书在到期前开始续订流程的时间。

要确保证书在过期前至少 7 天和颁发后 7 天进行续订,请设置相对于证书有效期的轮替窗口百分比。要计算轮播窗口百分比的允许范围,请使用以下公式:

  • 最小值:轮播窗口百分比 ≥(7 / 生命周期)* 100
  • 最大值:轮播窗口百分比 ≤((生命周期 - 7)/生命周期)* 100

在前面的公式中,7 为 7 天。

如果最小值为小数值,请将其向上舍入为最接近的整数。如果最大值为小数值,请将其向下舍入为最接近的整数。

更新证书颁发配置资源

如需更新证书颁发配置资源,您必须将其删除重新创建

列出证书颁发配置资源

如需列出证书颁发配置资源,请完成此 部分。

要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

如需了解详情,请参阅角色和权限

控制台

  1. 在 Google Cloud 控制台中,前往 Certificate Manager 页面。

    前往“证书管理器”

  2. 点击 Issuance Configs(发布配置)标签页。

该标签页列出了所选项目中由证书管理器管理的所有证书颁发配置资源。

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

替换以下内容:

  • FILTER 是一个表达式,用于约束返回的 与特定值相关联。例如,您可以按 以下条件:

    • 标签和创建时间:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    如需查看可与证书管理器搭配使用的更多过滤示例, 请参阅对列表结果进行排序和过滤

  • PAGE_SIZE 是每页返回的结果数。

  • LIMIT 是要返回的结果数上限。

  • SORT_BY 是以英文逗号分隔的 name 字段列表,按照 对返回的结果进行排序。默认排序顺序为升序;用于 降序排序顺序,在字段前面添加波浪号 (~)。

API

certificateIssuanceConfigs.list 发出 LIST 请求,以列出已配置的证书颁发配置资源 方法:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

替换以下内容:

  • PROJECT_ID 是目标 Google Cloud 项目的 ID。
  • FILTER 是一个表达式,用于约束返回的 与特定值相关联。
  • PAGE_SIZE 是每页返回的结果数。
  • SORT_BY 是以英文逗号分隔的字段名称列表,根据 对返回的结果进行排序。默认排序顺序为升序;用于 降序排序顺序,为字段添加 ~ 前缀。

查看证书颁发配置的状态

如需查看证书颁发配置的状态,请完成本部分中的步骤。

要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

如需了解详情,请参阅角色和权限

控制台

  1. 在 Google Cloud 控制台中,前往 Certificate Manager 页面。

    前往“证书管理器”

  2. 点击 Issuance Configs(发布配置)标签页。

  3. 点击要查看的证书颁发配置的名称。

Google Cloud 控制台会显示证书颁发配置详细信息。

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

替换以下内容:

  • ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。

API

certificateIssuanceConfigs.get 发出 GET 请求,以查看证书颁发配置的状态 方法:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

替换以下内容:

  • PROJECT_ID 是目标 Google Cloud 项目的 ID。
  • ISSUANCE_CONFIG__NAME 是目标证书颁发配置的名称。

删除证书颁发配置

如需删除证书颁发配置,请完成本部分中的步骤。删除之前 证书颁发配置,您必须先删除引用该证书的 Google 管理的证书

如需完成此任务,您必须拥有 目标 Google Cloud 项目。

如需了解详情,请参阅角色和权限

控制台

  1. 在 Google Cloud 控制台中,前往 Certificate Manager 页面。

    前往“证书管理器”

  2. Issuance Configs(发布配置)标签页上,选中要删除的发布配置对应的复选框。

  3. 点击删除

  4. 在显示的对话框中,点击删除进行确认。

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

替换以下内容:

  • ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。

API

certificateIssuanceConfigs.delete 发出 DELETE 请求以删除证书颁发配置 方法:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

替换以下内容:

  • PROJECT_ID 是目标 Google Cloud 项目的 ID。
  • ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。

后续步骤