本页面介绍如何创建和管理证书颁发配置。
如需详细了解证书颁发配置资源,请参阅 Certificate Manager 的工作原理。
请注意,如需停用您在证书颁发配置中引用的 CA 池中启用的最后一个 CA,或彻底删除引用的 CA 池,您必须先删除引用该 CA 池的每个证书颁发配置。
如需了解如何使用 Certificate Manager 部署证书,请参阅部署概览。
如需详细了解本页面中使用的 gcloud
命令,请参阅 Certificate Manager CLI 参考文档。
创建证书颁发配置
如需创建证书颁发配置,请完成本部分中的步骤。
请注意,即使您使用区域级 CA 池颁发 Google 管理的 TLS 证书,证书本身是全球性的,可以在任何区域使用。
如需完成此任务,您必须对目标 Google Cloud 项目拥有以下角色之一:
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
替换以下内容:
ISSUANCE_CONFIG_NAME
是标识此证书颁发配置资源的唯一名称。CA_POOL
是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME
(可选)表示证书生命周期(以天为单位)。有效值为 21 至 30 天。默认值为 30 天。ROTATION_WINDOW_PERCENTAGE
(可选)是触发续订时证书有效期的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比,以确保证书续期时间在证书颁发后至少 7 天,到证书到期前至少 7 天。- 证书有效期必须在 7 天(或更短时间)过期后续订。
KEY_ALGORITHM
(可选)是用于生成私钥的加密算法。有效值为ecdsa-p256
或rsa-2048
。默认值为rsa-2048
。
API
向 certificateIssuanceConfigs.create
方法发出 POST
请求,以创建证书颁发配置,如下所示:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME
是标识此证书颁发配置资源的唯一名称。DESCRIPTION
(可选)是对此证书颁发配置资源的有意义的说明。CA_POOL
是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME
(可选)表示证书生命周期(以天为单位)。有效值为 21 到 30 天,采用标准时长格式。默认值为 30 天(30D
)。
ROTATION_WINDOW_PERCENTAGE
(可选)是触发续订时证书有效期所占的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比,以确保证书续期时间应距证书至少 7 天,到证书到期前至少 7 天。KEY_ALGORITHM
是用于生成私钥的加密算法。有效值为ecdsa-p256
或rsa-2048
。默认值为rsa-2048
。
更新证书颁发配置资源
列出证书颁发配置资源
如需列出证书颁发配置资源,请完成本部分中的步骤。
如需完成此任务,您必须对目标 Google Cloud 项目拥有以下角色之一:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在随即显示的页面上,选择发布配置标签页。此标签页列出了所选项目中由 Certificate Manager 管理的所有证书颁发配置资源。
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
替换以下内容:
FILTER
是一个表达式,用于将返回的结果限制为特定值。例如,您可以按以下条件过滤结果:- 标签和创建时间:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需查看可与证书管理器搭配使用的更多过滤示例,请参阅 Cloud Key Management Service 文档中的对列表结果进行排序和过滤。
- 标签和创建时间:
PAGE_SIZE
是每页返回的结果数。LIMIT
是要返回的结果数上限。SORT_BY
是以英文逗号分隔的name
字段列表,系统将按照这些字段对返回的结果进行排序。默认排序顺序是升序;对于降序排序顺序,请为字段添加波浪号 (~
) 作为前缀。
API
向 certificateIssuanceConfigs.list
方法发出 LIST
请求,列出已配置的证书颁发配置资源,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。FILTER
是一个表达式,用于将返回的结果限制为特定值。PAGE_SIZE
是每页返回的结果数。SORT_BY
是以英文逗号分隔的字段名称列表,按这些名称对返回的结果进行排序。默认排序顺序是升序;对于降序排序顺序,请为字段添加~
前缀。
查看证书颁发配置的状态
如需查看证书颁发配置的状态,请完成本部分中的步骤。
如需完成此任务,您必须对目标 Google Cloud 项目拥有以下角色之一:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在随即显示的页面上,选择发布配置标签页。此标签页列出了所选项目中由 Certificate Manager 管理的所有证书颁发配置资源。
点击要查看的证书颁发配置。
Google Cloud 控制台会显示证书颁发配置详细信息。
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.get
方法发出 GET
请求,以查看证书颁发配置的状态,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG__NAME
是目标证书颁发配置的名称。
删除证书颁发配置
如需删除证书颁发配置,请完成本部分中的步骤。在删除证书颁发配置之前,您必须先删除引用它的 Google 管理的证书。
如需完成此任务,您必须拥有目标 Google Cloud 项目的 Certificate Manager Owner 角色。
如需了解详情,请参阅角色和权限。
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.delete
方法发出 DELETE
请求,以删除证书颁发配置,如下所示:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。