このページでは、証明書発行の構成を作成および管理する方法について説明します。
証明書発行の構成リソースの詳細については、Certificate Manager の仕組みをご覧ください。
証明書発行の構成で参照されている CA プールで最後に有効にした CA を無効にする場合や、参照される CA プールを完全に削除する場合は、まず、その CA プールを参照するすべての証明書発行の構成を削除する必要があります。
Certificate Manager を使用して証明書をデプロイする方法については、デプロイの概要をご覧ください。
このページで使用されている gcloud コマンドの詳細については、Certificate Manager CLI のリファレンスをご覧ください。
証明書発行の構成を作成する
証明書発行の構成を作成するには、このセクションの手順を行います。
リージョン CA プールを使用して Google マネージド TLS 証明書を発行しますが、証明書自体はグローバルであり、どのリージョンでも使用できます。
このタスクを完了するには、ターゲットの Google Cloud プロジェクトで次のいずれかのロールが必要です。
- Certificate Manager 編集者
- Certificate Manager オーナー
詳細については、ロールと権限をご覧ください。
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
次のように置き換えます。
ISSUANCE_CONFIG_NAMEは、この証明書発行の構成を識別する一意の名前です。CA_POOLは、この証明書発行の構成に割り当てる CA プールの完全なリソースパスと名前です。CERTIFICATE_LIFETIME(省略可)は、証明書の有効期間(日数)です。有効な値は 21 ~ 30 日です。デフォルトは 30 日です。ROTATION_WINDOW_PERCENTAGE(省略可)は、証明書の全期間で更新がトリガーされる割合です。デフォルトは 66% です。証明書の更新が、証明書の発行の 7 日以上後、期限切れの 7 日以上前に行われるように、証明書の有効期間を基準にしてローテーション ウィンドウの割合を設定する必要があります。- 証明書は、有効期限から 7 日以内に更新する必要があります。
KEY_ALGORITHM(省略可)は、秘密鍵の生成に使用される暗号化アルゴリズムです。有効な値はecdsa-p256またはrsa-2048です。 デフォルトはrsa-2048です。
API
次のように、certificateIssuanceConfigs.create メソッドに対して POST リクエストを行い、証明書発行の構成を作成します。
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
次のように置き換えます。
PROJECT_IDは、ターゲットの Google Cloud プロジェクトの ID です。ISSUANCE_CONFIG_NAMEは、この証明書発行の構成を識別する一意の名前です。DESCRIPTION(省略可)は、この証明書発行の構成リソースのわかりやすい説明です。CA_POOLは、この証明書発行の構成に割り当てる CA プールの完全なリソースパスと名前です。CERTIFICATE_LIFETIME(省略可)は、証明書の有効期間(日数)です。有効な値は、標準の期間形式で 21 ~ 30 日です。デフォルトは 30 日(30D)です。
ROTATION_WINDOW_PERCENTAGE(省略可)は、証明書の全期間で更新がトリガーされる割合です。デフォルトは 66% です。証明書の更新が、証明書の発行の 7 日以上後、期限切れの 7 日以上前に行われるように、証明書の有効期間を基準にしてローテーション ウィンドウの割合を設定する必要があります。KEY_ALGORITHMは、秘密鍵の生成に使用される暗号化アルゴリズムです。有効な値はecdsa-p256またはrsa-2048です。 デフォルトはrsa-2048です。
証明書発行の構成リソースを更新する
証明書発行の構成リソースを更新するには、削除してから再作成する必要があります。
証明書発行の構成リソースを一覧表示する
証明書発行の構成リソースを一覧表示するには、このセクションの手順を行います。
このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。
- Certificate Manager 閲覧者
- Certificate Manager 編集者
- Certificate Manager オーナー
詳細については、ロールと権限をご覧ください。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
表示されたページで、[発行の構成] タブを選択します。このタブには、選択したプロジェクトで Certificate Manager によって管理されているすべての証明書発行の構成リソースが一覧表示されます。
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
以下を置き換えます。
FILTERは、返される結果を特定の値に制限する式です。たとえば、次の条件で結果をフィルタできます。- ラベルと作成時刻:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。
- ラベルと作成時刻:
PAGE_SIZEはページごとに返す結果の数です。LIMITは返される結果の最大数です。SORT_BYは、返される結果の並べ替えの基準とするnameフィールドのカンマ区切りのリストです。デフォルトの並べ替え順は昇順です。降順の場合、フィールドの前に波形ダッシュ(~)を付けます。
API
次のように、certificateIssuanceConfigs.list メソッドに LIST リクエストを送信して、構成済みの証明書発行の構成リソースを一覧表示します。
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
次のように置き換えます。
PROJECT_IDは、ターゲットの Google Cloud プロジェクトの ID です。FILTERは、返される結果を特定の値に制限する式です。PAGE_SIZEはページごとに返す結果の数です。SORT_BYは、返される結果の並べ替えの基準とするフィールド名のカンマ区切りリストです。デフォルトの並べ替え順は昇順です。降順の場合、フィールドの先頭に~を付けます。
証明書発行の構成の状態を表示する
証明書発行の構成の状態を表示するには、このセクションの手順を完了します。
このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。
- Certificate Manager 閲覧者
- Certificate Manager 編集者
- Certificate Manager オーナー
詳細については、ロールと権限をご覧ください。
コンソール
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
表示されたページで、[発行の構成] タブを選択します。このタブには、選択したプロジェクトで Certificate Manager によって管理されているすべての証明書発行の構成リソースが一覧表示されます。
表示する証明書発行の構成をクリックします。
Google Cloud コンソールに証明書発行の構成の詳細が表示されます。
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
次のように置き換えます。
ISSUANCE_CONFIG_NAMEは、ターゲットの証明書発行の構成の名前です。
API
次のように、certificateIssuanceConfigs.get メソッドに対して GET リクエストを行い、証明書発行の構成の状態を表示します。
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
次のように置き換えます。
PROJECT_IDは、ターゲットの Google Cloud プロジェクトの ID です。ISSUANCE_CONFIG__NAMEは、ターゲットの証明書発行の構成の名前です。
証明書発行の構成を削除する
証明書発行の構成を削除するには、このセクションの手順を行います。証明書発行の構成を削除する前に、まずその構成を参照する Google マネージド証明書を削除する必要があります。
このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する Certificate Manager オーナーのロールが必要です。
詳細については、ロールと権限をご覧ください。
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
次のように置き換えます。
ISSUANCE_CONFIG_NAMEは、ターゲットの証明書発行の構成の名前です。
API
次のように、certificateIssuanceConfigs.delete メソッドに対して DELETE リクエストを行い、証明書発行の構成を削除します。
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
次のように置き換えます。
PROJECT_IDは、ターゲットの Google Cloud プロジェクトの ID です。ISSUANCE_CONFIG_NAMEは、ターゲットの証明書発行の構成の名前です。