Nesta página, descrevemos como criar e gerenciar uma configuração de emissão de certificados.
Para mais informações sobre os recursos de configuração de emissão de certificados, consulte Como funciona o Gerenciador de certificados.
Lembre-se de que, para desativar a última AC ativada no pool de AC mencionado na configuração de emissão de certificados ou para excluir o pool de AC mencionado completamente, primeiro é necessário excluir todas as configurações de emissão de certificados que fazem referência a esse pool de ACs.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
referência da CLI do Gerenciador de certificados.
Criar uma configuração de emissão de certificados
Para criar uma configuração de emissão de certificados, conclua as etapas desta seção.
Mesmo que você esteja usando um pool de CAs regional para emitir um certificado TLS gerenciado pelo Google, o certificado em si é global e pode ser usado em qualquer região.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Substitua:
ISSUANCE_CONFIG_NAME
é um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.CA_POOL
é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.CERTIFICATE_LIFETIME
(opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias. O padrão é 30 dias.ROTATION_WINDOW_PERCENTAGE
(opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.- O certificado precisa ser renovado sete dias inteiros ou antes da data de validade.
KEY_ALGORITHM
(opcional) é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O padrão érsa-2048
.
API
Crie a configuração de emissão de certificados fazendo uma solicitação POST
para o método certificateIssuanceConfigs.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG_NAME
é um nome exclusivo que identifica esse recurso de configuração de emissão de certificados.DESCRIPTION
(opcional) é uma descrição significativa para esse recurso de configuração de emissão de certificados.CA_POOL
é o caminho completo do recurso e o nome do pool de AC que você quer atribuir a este recurso de configuração de emissão de certificados.CERTIFICATE_LIFETIME
(opcional) é a vida útil do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração padrão. O padrão é 30 dias (30D
).
ROTATION_WINDOW_PERCENTAGE
(opcional) é a porcentagem do ciclo de vida do certificado em que uma renovação é acionada. O padrão é 66%. Defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado para que a renovação ocorra pelo menos sete dias após a emissão e sete dias antes da expiração.KEY_ALGORITHM
é o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos sãoecdsa-p256
oursa-2048
. O padrão érsa-2048
.
Atualizar um recurso de configuração de emissão de certificados
Para atualizar um recurso de configuração de emissão de certificados, é necessário excluí-lo e recriá-lo.
Listar recursos de configuração de emissão de certificados
Para listar os recursos de configuração de emissão de certificados, conclua as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Issuance Configs. Ela lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
FILTER
é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Marcadores e horário de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Marcadores e horário de criação:
PAGE_SIZE
é o número de resultados a serem retornados por página;LIMIT
é o número máximo de resultados a serem retornados.SORT_BY
é uma lista delimitada por vírgulas de camposname
pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira um til (~
) antes do campo.
API
Liste os recursos de configuração de emissão de certificados configurados fazendo uma solicitação LIST
para o método certificateIssuanceConfigs.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.FILTER
é uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
é o número de resultados a serem retornados por página;SORT_BY
é uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira o prefixo~
no campo.
Acessar o estado de uma configuração de emissão de certificados
Para visualizar o estado de uma configuração de emissão de certificados, conclua as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Na página exibida, selecione a guia Issuance Configs. Ela lista todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado.
Clique na configuração de emissão de certificados que você quer consultar.
O console do Google Cloud mostra os detalhes da configuração de emissão do certificado.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Substitua:
ISSUANCE_CONFIG_NAME
é o nome da configuração de emissão do certificado de destino.
API
Visualize o estado da configuração de emissão de certificados fazendo uma solicitação GET
para o método certificateIssuanceConfigs.get
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG__NAME
é o nome da configuração de emissão do certificado de destino.
Excluir uma configuração de emissão de certificados
Para excluir uma configuração de emissão de certificados, conclua as etapas desta seção. Antes de excluir uma configuração de emissão de certificados, exclua o certificado gerenciado pelo Google que faz referência a ele.
Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Substitua:
ISSUANCE_CONFIG_NAME
é o nome da configuração de emissão do certificado de destino.
API
Exclua a configuração de emissão de certificados fazendo uma solicitação DELETE
para o método certificateIssuanceConfigs.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.ISSUANCE_CONFIG_NAME
é o nome da configuração de emissão do certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS