Gerenciar a configuração de emissão de certificados

Nesta página, descrevemos como criar e gerenciar uma configuração de emissão de certificados.

Para mais informações sobre os recursos de configuração de emissão de certificados, consulte Como funciona o Gerenciador de certificados.

Lembre-se de que, para desativar a última AC ativada no pool de AC mencionado na configuração de emissão de certificados ou para excluir o pool de AC mencionado completamente, primeiro é necessário excluir todas as configurações de emissão de certificados que fazem referência a esse pool de ACs.

Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar uma configuração de emissão de certificados

Para criar uma configuração de emissão de certificados, conclua as etapas desta seção.

Mesmo que você esteja usando um pool de CAs regional para emitir um certificado TLS gerenciado pelo Google, o certificado em si é global e pode ser usado em qualquer região.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Substitua:

  • ISSUANCE_CONFIG_NAME é um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.
  • CA_POOL é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME (opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias. O padrão é 30 dias.
  • ROTATION_WINDOW_PERCENTAGE (opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.
    • O certificado precisa ser renovado sete dias inteiros ou antes da data de validade.
  • KEY_ALGORITHM (opcional) é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048.

API

Crie a configuração de emissão de certificados fazendo uma solicitação POST para o método certificateIssuanceConfigs.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • ISSUANCE_CONFIG_NAME é um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.
  • DESCRIPTION (opcional) é uma descrição significativa para esse recurso de configuração de emissão de certificados.
  • CA_POOL é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.
    • CERTIFICATE_LIFETIME (opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D).
  • ROTATION_WINDOW_PERCENTAGE (opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.
  • KEY_ALGORITHM é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O padrão é rsa-2048.

Atualizar um recurso de configuração de emissão de certificados

Para atualizar um recurso de configuração de emissão de certificados, é necessário excluí-lo e recriá-lo.

Listar recursos de configuração de emissão de certificados

Para listar os recursos de configuração de emissão de certificados, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Issuance Configs. Ela lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • FILTER é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados a serem retornados por página;

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista delimitada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira um til (~) antes do campo.

API

Liste os recursos de configuração de emissão de certificados configurados fazendo uma solicitação LIST para o método certificateIssuanceConfigs.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE é o número de resultados a serem retornados por página;
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira o prefixo ~ no campo.

Acessar o estado de uma configuração de emissão de certificados

Para visualizar o estado de uma configuração de emissão de certificados, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Issuance Configs. Ela lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.

  3. Clique na configuração de emissão de certificados que você quer consultar.

O console do Google Cloud mostra os detalhes da configuração de emissão do certificado.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua:

  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão do certificado de destino.

API

Visualize o estado da configuração de emissão de certificados fazendo uma solicitação GET para o método certificateIssuanceConfigs.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • ISSUANCE_CONFIG__NAME é o nome da configuração de emissão do certificado de destino.

Excluir uma configuração de emissão de certificados

Para excluir uma configuração de emissão de certificados, conclua as etapas desta seção. Antes de excluir uma configuração de emissão de certificados, exclua o certificado gerenciado pelo Google que faz referência a ele.

Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Substitua:

  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão do certificado de destino.

API

Exclua a configuração de emissão de certificados fazendo uma solicitação DELETE para o método certificateIssuanceConfigs.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • ISSUANCE_CONFIG_NAME é o nome da configuração de emissão do certificado de destino.

A seguir