管理证书颁发配置

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

替换以下内容：

• ISSUANCE_CONFIG_NAME 是标识此证书颁发配置资源的唯一名称。
• CA_POOL 是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。
• CERTIFICATE_LIFETIME（可选）表示证书生命周期（以天为单位）。有效值为 21 至 30 天。默认值为 30 天。
• ROTATION_WINDOW_PERCENTAGE（可选）是触发续订时证书有效期的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比，以确保证书续期时间在证书颁发后至少 7 天，到证书到期前至少 7 天。
  • 证书有效期必须在 7 天（或更短时间）过期后续订。
• KEY_ALGORITHM（可选）是用于生成私钥的加密算法。有效值为 ecdsa-p256 或 rsa-2048。默认值为 rsa-2048。

API

向 certificateIssuanceConfigs.create 方法发出 POST 请求，以创建证书颁发配置，如下所示：

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

替换以下内容：

• PROJECT_ID 是目标 Google Cloud 项目的 ID。
• ISSUANCE_CONFIG_NAME 是标识此证书颁发配置资源的唯一名称。
• DESCRIPTION（可选）是对此证书颁发配置资源的有意义的说明。
• CA_POOL 是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。
  • CERTIFICATE_LIFETIME（可选）表示证书生命周期（以天为单位）。有效值为 21 到 30 天，采用标准时长格式。默认值为 30 天（30D）。
• ROTATION_WINDOW_PERCENTAGE（可选）是触发续订时证书有效期所占的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比，以确保证书续期时间应距证书至少 7 天，到证书到期前至少 7 天。
• KEY_ALGORITHM 是用于生成私钥的加密算法。有效值为 ecdsa-p256 或 rsa-2048。默认值为 rsa-2048。

控制台

1. 在 Google Cloud 控制台中，前往证书管理器页面。

   前往“证书管理器”

2. 在随即显示的页面上，选择发布配置标签页。此标签页列出了所选项目中由 Certificate Manager 管理的所有证书颁发配置资源。

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

替换以下内容：

• FILTER 是一个表达式，用于将返回的结果限制为特定值。例如，您可以按以下条件过滤结果：

  • 标签和创建时间：--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

  如需查看可与证书管理器搭配使用的更多过滤示例，请参阅 Cloud Key Management Service 文档中的对列表结果进行排序和过滤。

• PAGE_SIZE 是每页返回的结果数。

• LIMIT 是要返回的结果数上限。

• SORT_BY 是以英文逗号分隔的 name 字段列表，系统将按照这些字段对返回的结果进行排序。默认排序顺序是升序；对于降序排序顺序，请为字段添加波浪号 (~) 作为前缀。

API

向 certificateIssuanceConfigs.list 方法发出 LIST 请求，列出已配置的证书颁发配置资源，如下所示：

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

替换以下内容：

• PROJECT_ID 是目标 Google Cloud 项目的 ID。
• FILTER 是一个表达式，用于将返回的结果限制为特定值。
• PAGE_SIZE 是每页返回的结果数。
• SORT_BY 是以英文逗号分隔的字段名称列表，按这些名称对返回的结果进行排序。默认排序顺序是升序；对于降序排序顺序，请为字段添加 ~ 前缀。

控制台

1. 在 Google Cloud 控制台中，前往证书管理器页面。

   前往“证书管理器”

2. 在随即显示的页面上，选择发布配置标签页。此标签页列出了所选项目中由 Certificate Manager 管理的所有证书颁发配置资源。

3. 点击要查看的证书颁发配置。

Google Cloud 控制台会显示证书颁发配置详细信息。

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

替换以下内容：

• ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。

API

向 certificateIssuanceConfigs.get 方法发出 GET 请求，以查看证书颁发配置的状态，如下所示：

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

替换以下内容：

• PROJECT_ID 是目标 Google Cloud 项目的 ID。
• ISSUANCE_CONFIG__NAME 是目标证书颁发配置的名称。

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

替换以下内容：

• ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。

API

向 certificateIssuanceConfigs.delete 方法发出 DELETE 请求，以删除证书颁发配置，如下所示：

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

替换以下内容：

• PROJECT_ID 是目标 Google Cloud 项目的 ID。
• ISSUANCE_CONFIG_NAME 是目标证书颁发配置的名称。