Mengelola konfigurasi penerbitan sertifikat

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi penerbitan sertifikat.

Untuk informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Cara kerja Pengelola Sertifikat.

Perhatikan bahwa untuk menonaktifkan CA terakhir yang Anda aktifkan di kumpulan CA yang dirujuk dalam konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA yang dirujuk sepenuhnya, Anda harus menghapus setiap konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA tersebut terlebih dahulu.

Untuk mempelajari cara men-deploy sertifikat dengan Pengelola Sertifikat, lihat Ringkasan deployment.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud yang digunakan di halaman ini, lihat referensi CLI Pengelola Sertifikat.

Membuat konfigurasi penerbitan sertifikat

Untuk membuat konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Perhatikan bahwa meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat itu sendiri bersifat global dan dapat digunakan di wilayah mana pun.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Issuance Configs, klik Create.

  3. Di kolom Name, masukkan nama unik untuk konfigurasi penerbitan sertifikat.

  4. Opsional: Di kolom Deskripsi, masukkan deskripsi untuk konfigurasi penerbitan.

  5. Untuk Location, pilih Global atau Regional.

    Jika Anda memilih Regional, pilih Region.

  6. Di kolom Lifetime, tentukan masa berlaku sertifikat yang diterbitkan dalam hari. Nilai harus antara 21 hingga 30 hari (inklusif).

  7. Di Rotation window percentage, tentukan persentase masa aktif sertifikat saat proses perpanjangannya dimulai. Untuk menemukan rentang nilai yang valid, lihat Persentase periode Umur dan Rotasi.

  8. Dari daftar Algoritma kunci, pilih algoritma kunci yang akan digunakan saat membuat kunci pribadi.

  9. Dari daftar CA pool, pilih nama CA pool yang akan ditetapkan ke konfigurasi penerbitan sertifikat ini.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan key dan value untuk label Anda.

  11. Klik Create.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.
  • CA_POOL adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
  • CERTIFICATE_LIFETIME (opsional) adalah masa aktif sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari. Defaultnya adalah 30 hari.
  • ROTATION_WINDOW_PERCENTAGE (opsional) adalah persentase masa berlaku sertifikat saat proses perpanjangannya dimulai. Default-nya adalah 66 persen. Untuk menemukan rentang nilai yang valid, lihat Persentase periode Umur dan Rotasi.
  • KEY_ALGORITHM (opsional) adalah algoritma enkripsi untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Default-nya adalah rsa-2048.

API

Buat konfigurasi penerbitan sertifikat dengan membuat permintaan POST ke metode certificateIssuanceConfigs.create seperti berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG_NAME adalah nama unik yang mengidentifikasi resource konfigurasi penerbitan sertifikat ini.
  • DESCRIPTION (opsional) adalah deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat ini.
  • CA_POOL adalah jalur resource lengkap dan nama kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat ini.
  • CERTIFICATE_LIFETIME (opsional) adalah masa aktif sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi standar. Default-nya adalah 30 hari (30D).
  • ROTATION_WINDOW_PERCENTAGE (opsional) adalah persentase masa berlaku sertifikat saat proses perpanjangannya dimulai. Default-nya adalah 66 persen. Untuk menemukan rentang nilai yang valid, lihat Persentase periode Umur dan Rotasi.
  • KEY_ALGORITHM adalah algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Default-nya adalah rsa-2048.

Persentase periode aktif dan periode rotasi

Saat membuat konfigurasi penerbitan sertifikat, Anda juga menentukan masa berlaku sertifikat di kolom Masa berlaku, dan kapan proses perpanjangan sertifikat dimulai sebelum masa berlakunya berakhir di kolom Persentase periode rotasi.

Untuk memastikan sertifikat diperpanjang setidaknya tujuh hari sebelum masa berlakunya berakhir dan tujuh hari setelah penerbitannya, tetapkan persentase periode rotasi relatif terhadap masa berlaku sertifikat. Untuk menghitung rentang yang diizinkan untuk persentase periode rotasi, gunakan formula berikut:

  • Nilai minimum: Persentase periode rotasi ≥ (7 / Masa Aktif) * 100
  • Nilai maksimum: Persentase periode rotasi ≤ ( (Masa aktif - 7) / Masa aktif) * 100

Dalam formula sebelumnya, 7 adalah tujuh hari.

Jika nilai minimum adalah nilai desimal, bulatkan ke atas ke bilangan bulat terdekat. Jika nilai maksimum adalah nilai desimal, bulatkan ke bawah ke bilangan bulat terdekat.

Mencantumkan konfigurasi penerbitan sertifikat

Untuk membuat daftar konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Issuance Configs.

Tab ini mencantumkan semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Pengelola Sertifikat di project yang dipilih.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ganti kode berikut:

  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu. Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT adalah jumlah hasil maksimum yang akan ditampilkan.

  • SORT_BY adalah daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

API

Cantumkan resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST ke metode certificateIssuanceConfigs.list seperti berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.
  • SORT_BY adalah daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan ~.

Melihat status konfigurasi penerbitan sertifikat

Untuk melihat status konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Issuance Configs.

  3. Klik nama konfigurasi penerbitan sertifikat yang ingin Anda lihat.

Konsol Google Cloud menampilkan detail konfigurasi penerbitan sertifikat.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

API

Lihat status konfigurasi penerbitan sertifikat dengan membuat permintaan GET ke metode certificateIssuanceConfigs.get seperti berikut:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG__NAME adalah nama konfigurasi penerbitan sertifikat target.

Memperbarui konfigurasi penerbitan sertifikat

Anda dapat menambahkan atau mengubah label dan deskripsi konfigurasi penerbitan sertifikat menggunakan Google Cloud CLI atau API.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Pelajari Peran dan izin lebih lanjut.

gcloud

Gunakan perintah gcloud certificate-manager issuance-configs update untuk memperbarui konfigurasi penerbitan sertifikat:

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • Opsional: LABELS adalah satu atau beberapa label yang ingin Anda tentukan untuk konfigurasi penerbitan sertifikat. Label harus ditentukan dalam daftar yang dipisahkan koma sebagai pasangan KEY=VALUE.
  • Opsional: DESCRIPTION menjelaskan konfigurasi penerbitan sertifikat.

API

Gunakan metode certificateIssuanceConfigs.patch untuk memperbarui konfigurasi penerbitan sertifikat:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • Opsional: Anda dapat menentukan satu atau beberapa label untuk setiap konfigurasi penerbitan sertifikat.
    • LABEL_KEY adalah kunci label.
    • LABEL_VALUE_ adalah nilai label.
  • Opsional: DESCRIPTION menjelaskan konfigurasi penerbitan sertifikat.

Menghapus konfigurasi penerbitan sertifikat

Untuk menghapus konfigurasi penerbitan sertifikat, selesaikan langkah-langkah di bagian ini. Sebelum menghapus konfigurasi penerbitan sertifikat, Anda harus menghapus sertifikat yang dikelola Google yang mereferensikannya terlebih dahulu.

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Pemilik Pengelola Sertifikat di project Google Cloud target.

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Issuance Configs, centang kotak konfigurasi penerbitan yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

API

Hapus konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE ke metode certificateIssuanceConfigs.delete seperti berikut:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • ISSUANCE_CONFIG_NAME adalah nama konfigurasi penerbitan sertifikat target.

Langkah selanjutnya