Gerenciar configuração de emissão de certificados

Nesta página, descrevemos como criar e gerenciar uma configuração de emissão de certificados.

Para mais informações sobre recursos de configuração para emissão de certificados, consulte Como o Gerenciador de certificados funciona

Lembre-se de que, para desativar a última AC ativada no pool de ACs mencionado no configuração de emissão de certificado ou, para excluir completamente o pool de AC referenciado, é preciso exclua todas as configurações de emissão de certificado que fazem referência a esse pool de AC:

Para aprender a implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a Referência da CLI do Gerenciador de certificados

Criar uma configuração de emissão de certificados

Para criar uma configuração de emissão de certificados, siga as etapas desta seção.

Mesmo que você esteja usando um pool de ACs regional para emitir uma solicitação TLS, o certificado em si é global e pode ser usado em qualquer região.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de emissão, clique em Criar.

  3. No campo Nome, insira um nome exclusivo para a configuração de emissão de certificados.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, escolha a Região.

  6. No campo Vida útil, especifique a vida útil do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  7. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começar. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.

  8. Na lista Algoritmo de chave, selecione o algoritmo de chave a ser usado ao gerar a chave privada.

  9. Na lista Pool de CAs, selecione o nome do pool de CAs que será atribuído a esta configuração de emissão de certificados.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique um key e um value para o rótulo.

  11. Clique em Criar.

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Substitua:

  • ISSUANCE_CONFIG_NAME é um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.
  • CA_POOL é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a esse recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME (opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias. O padrão é de 30 dias.
  • ROTATION_WINDOW_PERCENTAGE (opcional) é a porcentagem do ciclo de vida do certificado quando o processo de renovação começa. O padrão é 66%. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.
  • KEY_ALGORITHM (opcional) é o algoritmo de criptografia para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048.

API

Crie a configuração de emissão de certificados fazendo uma solicitação POST para o certificateIssuanceConfigs.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME é um nome exclusivo que identifica esse recurso de configuração de emissão de certificado.
  • DESCRIPTION (opcional) é uma descrição significativa para esse recurso de configuração de emissão de certificados.
  • CA_POOL é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a esse recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME (opcional) é a validade do certificado em dias. Os valores válidos vão de 21 a 30 dias em formato de duração padrão. O padrão é 30 dias (30D).
  • ROTATION_WINDOW_PERCENTAGE (opcional) é a porcentagem do ciclo de vida do certificado em que o processo de renovação começa. O padrão é 66%. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de ciclo de vida e rotação.
  • KEY_ALGORITHM é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048.

Porcentagem do ciclo de vida e da janela de rotação

Ao criar uma configuração de emissão de certificados, você também define o ciclo de vida do certificado no campo Vida útil e quando o processo de renovação do certificado começa antes da expiração no campo Porcentagem da janela de rotação.

Para garantir que o certificado seja renovado pelo menos sete dias antes de expirar e sete dias após a emissão, defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado. Para calcular o intervalo permitido da porcentagem da janela de rotação, use as seguintes fórmulas:

  • Valor mínimo: porcentagem da janela de rotação ≥ (7 / Ciclo de vida) * 100
  • Valor máximo: porcentagem da janela de rotação ≤ ( (Ciclo de vida - 7) / Vida útil) * 100

Nas fórmulas anteriores, 7 é de sete dias.

Se o valor mínimo for um valor decimal, arredonde-o para cima para o número inteiro mais próximo. Se o valor máximo for decimal, ele será arredondado para baixo para o número inteiro mais próximo.

Listar as configurações de emissão de certificados

Para listar as configurações de emissão de certificados, siga as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Configurações de emissão.

A guia lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • FILTER é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, para filtrar os resultados pelo e a hora da criação, é possível especificar: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados que serão retornados por página.

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista de campos name separada por vírgulas em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem decrescente, prefixe o campo com um til (~).

API

Liste os recursos de configuração de emissão de certificado configurados fazendo uma solicitação LIST para certificateIssuanceConfigs.list. da seguinte forma:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE é o número de resultados a serem retornados por página.
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo com ~.

Ver o estado de uma configuração de emissão de certificados

Para conferir o estado de uma configuração de emissão de certificados, siga as etapas nesta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Configurações de emissão.

  3. Clique no nome da configuração de emissão de certificado que você quer consultar.

O console do Google Cloud exibe os detalhes de configuração da emissão de certificados.

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua:

  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão de certificado de destino.

API

Visualize o estado da configuração de emissão de certificado fazendo uma solicitação GET para o certificateIssuanceConfigs.get da seguinte forma:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • ISSUANCE_CONFIG__NAME é o nome da configuração de emissão do certificado de destino.

Atualizar uma configuração de emissão de certificados

É possível adicionar ou alterar os rótulos e as descrições da configuração de emissão de certificados usando a CLI ou a API do Google Cloud.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Saiba mais sobre papéis e permissões.

gcloud

Use o gcloud certificate-manager issuance-configs update para atualizar uma configuração de emissão de certificado:

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

Substitua:

  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão de certificado de destino que você quer atualizar.
  • Opcional: LABELS é um ou mais rótulos que você quer especificar para a configuração de emissão de certificados. Os rótulos precisam ser especificados em uma lista delimitada por vírgulas como pares KEY=VALUE.
  • Opcional: DESCRIPTION descreve a configuração de emissão de certificados.

API

Use o certificateIssuanceConfigs.patch para atualizar uma configuração de emissão de certificado:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME é o nome do destino. configuração de emissão de certificados que você quer atualizar.
  • Opcional: é possível especificar um ou mais rótulos para cada emissão de certificado configuração do Terraform.
    • LABEL_KEY é a chave de rótulo.
    • LABEL_VALUE_ é o valor do rótulo.
  • Opcional: DESCRIPTION descreve a configuração da emissão de certificados.

Excluir uma configuração de emissão de certificados

Para excluir uma configuração de emissão de certificados, siga as etapas desta seção. Antes da exclusão uma configuração de emissão de certificados, primeiro exclua o certificado gerenciado pelo Google que faz referência a ele.

Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de emissão, marque a caixa de seleção da configuração de emissão que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Substitua:

  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão de certificado de destino.

API

Exclua a configuração de emissão de certificado fazendo uma solicitação DELETE ao método certificateIssuanceConfigs.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão de certificado de destino.

A seguir