本页面介绍了如何创建和管理证书颁发配置。
如需详细了解证书颁发配置资源,请参阅 Certificate Manager 的工作原理。
请记住,要停用您在 证书颁发配置,或要将引用的 CA 池完全删除,则必须 请先删除引用该 CA 池的所有证书颁发配置。
如需了解如何使用 Certificate Manager 部署证书, 请参阅部署概览。
如需详细了解本页中使用的 gcloud
命令,请参阅
Certificate Manager CLI 参考文档。
创建证书颁发配置
如需创建证书颁发配置,请完成本部分中的步骤。
请注意,即使您使用区域级 CA 池来发出由 Google 管理的 传输层安全协议 (TLS) 证书,那么证书本身是全球性的,可以在任何区域使用。
要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
替换以下内容:
ISSUANCE_CONFIG_NAME
是用于标识此证书颁发配置资源的唯一名称。CA_POOL
是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME
(可选)是证书生命周期(以天为单位)。有效值为 21 至 30 天。默认值为 30 天。ROTATION_WINDOW_PERCENTAGE
(可选)是触发续订的证书在证书有效期内所占的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比,以便证书在证书有效期结束后至少 7 天进行 且距离证书过期还有至少 7 天。- 证书必须在有效期满 7 天或更短时间内续订。
KEY_ALGORITHM
(可选)是用于生成私钥的加密算法。有效值为ecdsa-p256
或rsa-2048
。默认值为rsa-2048
。
API
向 certificateIssuanceConfigs.create
发出 POST
请求以创建证书颁发配置
方法:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME
是用于标识此证书颁发配置资源的唯一名称。DESCRIPTION
(可选)是对此证书颁发配置资源的有意义的说明。CA_POOL
是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME
(可选)是证书生命周期(以天为单位)。有效值为 标准时长格式。默认值为 30 天 (30D
)。
ROTATION_WINDOW_PERCENTAGE
(可选)是触发续订的证书在证书有效期内所占的百分比。默认值为 66%。 您必须设置相对于证书生命周期的轮替窗口百分比,以便证书在证书有效期结束后至少 7 天进行 且距离证书过期还有至少 7 天。KEY_ALGORITHM
是用于生成私钥的加密算法。有效值为ecdsa-p256
或rsa-2048
。默认值为rsa-2048
。
更新证书颁发配置资源
列出证书颁发配置资源
如需列出证书颁发配置资源,请完成此 部分。
要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在显示的页面上,选择 Issuance Configs(发布配置)标签页。此标签页 列出由 Google Cloud 控制台管理的所有证书颁发配置资源, 所选项目中的 Certificate Manager。
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
替换以下内容:
FILTER
是一个表达式,用于约束返回的 与特定值相关联。例如,您可以按 以下条件:- 标签和创建时间:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需查看可与证书管理器搭配使用的更多过滤示例, 请参阅对列表结果进行排序和过滤 。
- 标签和创建时间:
PAGE_SIZE
是每页返回的结果数。LIMIT
是要返回的结果数上限。SORT_BY
是以英文逗号分隔的name
字段列表,按照 对返回的结果进行排序。默认排序顺序为升序;用于 降序排序顺序,在字段前面添加波浪号 (~
)。
API
向 certificateIssuanceConfigs.list
发出 LIST
请求,以列出已配置的证书颁发配置资源
方法:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。FILTER
是一个表达式,用于约束返回的 与特定值相关联。PAGE_SIZE
是每页返回的结果数。SORT_BY
是以英文逗号分隔的字段名称列表,根据 对返回的结果进行排序。默认排序顺序为升序;用于 降序排序顺序,为字段添加~
前缀。
查看证书颁发配置的状态
如需查看证书颁发配置的状态,请完成本部分中的步骤。
要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在显示的页面上,选择 Issuance Configs(发布配置)标签页。此标签页 列出由 Google Cloud 控制台管理的所有证书颁发配置资源, 所选项目中的 Certificate Manager。
点击要查看的证书颁发配置。
Google Cloud 控制台会显示证书颁发配置详细信息。
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.get
发出 GET
请求,以查看证书颁发配置的状态
方法:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG__NAME
是目标证书颁发配置的名称。
删除证书颁发配置
如需删除证书颁发配置,请完成本部分中的步骤。删除之前 证书颁发配置,您必须先删除引用该证书的 Google 管理的证书。
如需完成此任务,您必须拥有 目标 Google Cloud 项目。
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在 Issuance Configs(发布配置)标签页上,选中要删除的发布配置对应的复选框。
点击删除。
在显示的对话框中,点击删除进行确认。
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.delete
发出 DELETE
请求以删除证书颁发配置
方法:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID
是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME
是目标证书颁发配置的名称。