Faça a gestão dos recursos de configuração da emissão de certificados

Esta página descreve como criar e gerir um recurso de configuração de emissão de certificados.

Para mais informações sobre recursos de configuração de emissão de certificados, consulte o artigo Configurações de emissão de certificados.

Crie um recurso de configuração de emissão de certificados

Antes de criar o recurso de configuração de emissão, configure a integração do serviço de AC com o Gestor de certificados.

Para criar um recurso de configuração de emissão de certificados, especifique o tempo de vida do certificado, a percentagem da janela de rotação, o algoritmo de chave e o conjunto de ACs a usar.

Embora use um conjunto de ACs regional para emitir um certificado TLS gerido pela Google, o certificado pode ser usado globalmente.

Consola

  1. Na Google Cloud consola, aceda ao separador Configurações de emissão na página Certificate Manager.

    Aceda ao Gestor de certificados

  2. Clique em Criar. É apresentada a página Crie uma configuração de emissão de certificados.

  3. No campo Nome, introduza um nome exclusivo para o recurso de configuração de emissão de certificados.

  4. Opcional: no campo Descrição, introduza uma descrição para a configuração de emissão.

  5. Para Localização, selecione Global ou Regional. Se selecionou Regional, selecione a mesma Região que o seu certificado e conjunto de CA.

  6. No campo Duração total, especifique a duração total do certificado emitido em dias. O valor tem de estar compreendido entre 21 e 30 dias (inclusive).

  7. Para Percentagem do período de rotação, especifique a percentagem do período de validade do certificado quando o respetivo processo de renovação começa. Para encontrar o intervalo de valores válidos, consulte a percentagem de janela de rotação e duração.

  8. Na lista Algoritmo de chave, selecione o algoritmo de chave a usar quando gerar a chave privada.

  9. Na lista CA pool, selecione o nome do CA pool a atribuir a este recurso de configuração de emissão de certificados.

  10. No campo Etiquetas, especifique as etiquetas a associar ao certificado. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.

  11. Clique em Criar.

gcloud

Para criar um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Substitua o seguinte:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • CA_POOL: o caminho e o nome completos do recurso do conjunto de ACs que quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: a duração do certificado em dias. Os valores válidos estão compreendidos entre 21 e 30 dias no formato de duração absoluta. O valor predefinido é 30 dias (30D). Esta flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a percentagem do tempo de vida restante do certificado antes da renovação. O valor predefinido é 66%. Para encontrar o intervalo de valores válidos, consulte [Percentagem da duração e da janela de rotação](#lifetime-rotation-percentage). Esta flag é opcional.
  • KEY_ALGORITHM: o algoritmo de encriptação usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor predefinido é rsa-2048. Esta flag é opcional.
  • LOCATION: a localização Google Cloud alvo.

API

Crie o recurso de configuração de emissão de certificados fazendo um pedido ao método certificateIssuanceConfigs.create da seguinte forma:POST

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • LOCATION: a localização Google Cloud alvo.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • DESCRIPTION: uma descrição significativa para o recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho e o nome completos do recurso do conjunto de ACs que quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: a duração do certificado em dias. Os valores válidos estão compreendidos entre 21 e 30 dias no formato de duração absoluta. O valor predefinido é 30 dias (30D). Esta flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a percentagem do tempo de vida restante do certificado antes da renovação. O valor predefinido é 66%. Para encontrar o intervalo de valores válidos, consulte [Percentagem da duração e da janela de rotação](#lifetime-rotation-percentage). Esta flag é opcional.
  • KEY_ALGORITHM: o algoritmo de encriptação usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor predefinido é rsa-2048. Esta flag é opcional.

Percentagem do período e da janela de rotação

Quando cria um recurso de configuração de emissão de certificados, também define a duração do certificado no campo Lifetime e quando o processo de renovação do certificado começa antes de expirar no campo Rotation window percentage.

Para garantir que o certificado é renovado, pelo menos, sete dias antes da respetiva expiração e sete dias após a respetiva emissão, defina a percentagem do período de rotação relativamente à duração do certificado. Para calcular o intervalo permitido para a percentagem da janela de rotação, use as seguintes fórmulas:

  • Valor mínimo: percentagem da janela de rotação ≥ (7 / tempo de vida) * 100
  • Valor máximo: percentagem da janela de rotação ≤ ( (tempo de vida - 7) / tempo de vida) * 100

Nas fórmulas anteriores, 7 é sete dias.

Se o valor mínimo for um valor decimal, arredonde-o para cima para o número inteiro mais próximo. Se o valor máximo for um valor decimal, arredonde-o para baixo para o número inteiro mais próximo.

Atualize uma configuração de emissão de certificados

Quando atualiza uma configuração de emissão de certificados, pode fazer o seguinte:

  • Especifique novas etiquetas
  • Especifique uma nova descrição

gcloud

Para atualizar um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs update :

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Substitua o seguinte:

  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão do certificado de destino que quer atualizar.
  • LABELS: etiquetas que quer especificar para a configuração de emissão de certificados. As etiquetas têm de ser especificadas numa lista delimitada por vírgulas como pares KEY=VALUE. Este campo é opcional.
  • DESCRIPTION: a descrição da configuração de emissão do certificado. Este campo é opcional.

API

Use o método certificateIssuanceConfigs.patch para atualizar uma configuração de emissão de certificados:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão do certificado de destino que quer atualizar.
  • LABEL_KEY: a chave da etiqueta. Este campo é opcional.
  • LABEL_VALUE: o valor da etiqueta. Este campo é opcional.
  • DESCRIPTION: a configuração de emissão de certificados.

Apresente as configurações de emissão de certificados

Pode ver todos os recursos de configuração de emissão de certificados do seu projeto e os respetivos detalhes.

Consola

  1. Na Google Cloud consola, aceda ao separador Configurações de emissão na página Certificate Manager.

    Aceda ao Gestor de certificados

    No separador Configurações de emissão, são apresentados todos os recursos de configuração de emissão de certificados geridos pelo Gestor de certificados no projeto selecionado.

gcloud

Para apresentar uma lista de recursos de configuração de emissão de certificados, use o comando certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Substitua o seguinte:

  • FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.

    Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver mais exemplos de filtragem que pode usar com o Gestor de certificados, consulte Ordenar e filtrar resultados de listas na documentação do Serviço de gestão de chaves na nuvem.

  • PAGE_SIZE: o número de resultados a devolver por página.

  • LIMIT: o número máximo de resultados a devolver.

  • SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.

  • LOCATION: a localização Google Cloud alvo.

API

Liste os recursos de configuração de emissão de certificados configurados fazendo um pedido ao método certificateIssuanceConfigs.list da seguinte forma:LIST

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.

  • FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.

    Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para ver mais exemplos de filtragem que pode usar com o Gestor de certificados, consulte a secção Ordenar e filtrar resultados da lista na documentação do Serviço de gestão de chaves na nuvem.

  • PAGE_SIZE: o número de resultados a devolver por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.

Veja o estado de um recurso de configuração de emissão de certificados

Consola

  1. Na Google Cloud consola, aceda ao separador Configurações de emissão na página Certificate Manager.

    Aceda ao Gestor de certificados

  2. Clique no nome do recurso de configuração de emissão de certificados que quer ver. A página Configuração de emissão de certificados apresenta informações detalhadas sobre o recurso de configuração de emissão de certificados.

gcloud

Para ver o estado de um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs describe :

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua ISSUANCE_CONFIG_NAME pelo nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de AC de destino.

API

Veja o estado do recurso de configuração de emissão de certificados fazendo um pedido GET ao método certificateIssuanceConfigs.get da seguinte forma:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.

Elimine um recurso de configuração de emissão de certificados

Antes de eliminar um recurso de configuração de emissão de certificados, tem de eliminar o certificado gerido pela Google que o referencia.

Para desativar a última AC que ativou num conjunto de ACs referenciado no recurso de configuração de emissão de certificados ou para eliminar completamente o conjunto de ACs, tem de eliminar primeiro todos os recursos de configuração de emissão de certificados que referenciam o conjunto de ACs.

Consola

  1. Na Google Cloud consola, aceda ao separador Configurações de emissão na página Certificate Manager.

    Aceda ao Gestor de certificados

  2. Selecione a caixa de verificação da configuração de emissão que quer eliminar.

  3. Clique em Eliminar.

  4. Na caixa de diálogo apresentada, clique em Eliminar para confirmar.

gcloud

Para eliminar um recurso de configuração de emissão de certificados, use o comando certificate-manager issuance-configs delete :

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Substitua o seguinte:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.
  • LOCATION: a localização Google Cloud alvo.

API

Elimine o recurso de configuração de emissão de certificados fazendo um pedido ao método certificateIssuanceConfigs.delete da seguinte forma:DELETE

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua o seguinte:

  • PROJECT_ID: o ID do Google Cloud projeto.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao conjunto de ACs de destino.

O que se segue?