本页介绍了如何创建和管理证书颁发配置。
如需详细了解证书颁发配置资源,请参阅 Certificate Manager 的运作方式。
请记住,要停用您在 证书颁发配置,或要将引用的 CA 池完全删除,则必须 请先删除引用该 CA 池的所有证书颁发配置。
如需了解如何使用 Certificate Manager 部署证书, 请参阅部署概览。
如需详细了解本页中使用的 gcloud 命令,请参阅
Certificate Manager CLI 参考文档。
创建证书颁发配置
如需创建证书颁发配置,请完成本部分中的步骤。
请注意,即使您使用区域级 CA 池来发出由 Google 管理的 传输层安全协议 (TLS) 证书,那么证书本身是全球性的,可以在任何区域使用。
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在发行配置标签页上,点击创建。
在名称字段中,为证书颁发配置输入一个唯一名称。
可选:在说明字段中,输入发布配置的说明。
对于位置,选择全球或区域级。
如果您选择了区域,则请选择区域。
在 Lifetime(有效期)字段中,以天为单位指定已颁发证书的有效期。该值必须介于 21 到 30 天(含)之间。
在轮替期限百分比中,指定证书续订流程开始时所占的生命周期百分比。要查找有效值范围,请参阅生命周期和轮播窗口百分比。
从密钥算法列表中,选择生成私钥时要使用的密钥算法。
从 CA 池列表中,选择要分配给此证书颁发配置的 CA 池的名称。
在标签字段中,指定要与证书关联的标签。如需添加标签,请点击 添加标签,并为标签指定
key和value。点击创建。
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
替换以下内容:
ISSUANCE_CONFIG_NAME是用于标识此证书颁发配置资源的唯一名称。CA_POOL是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME(可选)是证书有效期(以天为单位)。有效值为 21 至 30 天。默认值为 30 天。ROTATION_WINDOW_PERCENTAGE(可选)是证书续订流程开始时证书生命周期的百分比。默认值为 66%。如需查找有效值的范围,请参阅生命周期和轮替期百分比。KEY_ALGORITHM(可选)是用于生成私钥的加密算法。有效值为ecdsa-p256或rsa-2048。默认值为rsa-2048。
API
向 certificateIssuanceConfigs.create 发出 POST 请求以创建证书颁发配置
方法:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
替换以下内容:
PROJECT_ID是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME是用于标识此证书颁发配置资源的唯一名称。DESCRIPTION(可选)是对此证书颁发配置资源的有意义的说明。CA_POOL是您要分配给此证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME(可选)是证书有效期(以天为单位)。有效值为 21 天到 30 天,采用标准时长格式。默认值为 30 天 (30D)。ROTATION_WINDOW_PERCENTAGE(可选)是在证书有效期内从证书续订流程开始的时间百分比。默认值为 66%。要查找有效值范围,请参阅生命周期和轮播窗口百分比。KEY_ALGORITHM是用于生成私钥的加密算法。有效值为ecdsa-p256或rsa-2048。默认值为rsa-2048。
生命周期和轮替窗口百分比
创建证书颁发配置时,您还可以在生命周期字段中定义证书的生命周期,并在轮替窗口百分比字段中指定证书在到期前开始续订的时间。
为确保证书在到期前至少提前 7 天续订,并在颁发后至少 7 天续订,请根据证书的生命周期设置轮替窗口百分比。要计算轮播窗口百分比的允许范围,请使用以下公式:
- 最小值:轮替窗口百分比 ≥ (7 / 生命周期) * 100
- 最大值:轮播窗口百分比 ≤((生命周期 - 7)/生命周期)* 100
在前面的公式中,7 为 7 天。
如果最小值为小数值,请将其向上舍入为最接近的整数。如果最大值是小数值,请将其向下舍入为最接近的整数。
列出证书颁发配置
如需列出证书颁发配置,请完成此 部分。
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
点击 Issuance Configs(发布配置)标签页。
该标签页列出了所选项目中由证书管理器管理的所有证书颁发配置资源。
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
替换以下内容:
FILTER是一个表达式,用于将返回的结果限制为特定值。例如,要按照 标签和创建时间,您可以指定:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需查看可与证书管理器搭配使用的更多过滤示例, 请参阅对列表结果进行排序和过滤 。
PAGE_SIZE是每页返回的结果数。LIMIT是要返回的结果数上限。SORT_BY是以英文逗号分隔的name字段列表,按照 对返回的结果进行排序。默认排序顺序为升序;如需降序排序,请在字段前面加上波浪号 (~)。
API
向 certificateIssuanceConfigs.list 方法发出 LIST 请求,以列出已配置的证书颁发配置资源,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
替换以下内容:
PROJECT_ID是目标 Google Cloud 项目的 ID。FILTER是一个表达式,用于将返回的结果限制为特定值。PAGE_SIZE是每页返回的结果数。SORT_BY是以英文逗号分隔的字段名称列表,根据 对返回的结果进行排序。默认排序顺序为升序;用于 降序排序顺序,为字段添加~前缀。
查看证书颁发配置的状态
如需查看证书颁发配置的状态,请完成本部分中的步骤。
要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:
- Certificate Manager Viewer
- Certificate Manager Editor
- Certificate Manager Owner
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
点击发卡配置标签页。
点击要查看的证书颁发配置的名称。
Google Cloud 控制台会显示证书颁发配置详细信息。
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.get 发出 GET 请求,以查看证书颁发配置的状态
方法:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG__NAME是目标证书颁发配置的名称。
更新证书颁发配置
您可以使用 Google Cloud CLI 或 API 添加或更改证书颁发配置的标签和说明。
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Editor
- Certificate Manager Owner
详细了解角色和权限。
gcloud
使用
gcloud certificate-manager issuance-configs update
命令以更新证书颁发配置:
gcloud certificate-manager issuance-configs update \
ISSUANCE_CONFIG_NAME
--update-labels="LABELS" \
--description="DESCRIPTION"
替换以下内容:
ISSUANCE_CONFIG_NAME是目标的名称 要更新的证书颁发配置。- 可选:
LABELS是您要添加的一个或多个标签 指定证书颁发配置的值。标签必须以英文逗号分隔的列表的形式指定为KEY=VALUE对。 - 可选:
DESCRIPTION用于描述证书颁发配置。
API
使用
certificateIssuanceConfigs.patch
更新证书颁发配置的方法:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
替换以下内容:
PROJECT_ID是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME是目标的名称 要更新的证书颁发配置。- 可选:您可以为每个证书颁发配置指定一个或多个标签。
LABEL_KEY是标签键。LABEL_VALUE_是标签的值。
- 可选:
DESCRIPTION用于描述 证书颁发配置。
删除证书颁发配置
如需删除证书颁发配置,请完成本部分中的步骤。删除之前 证书颁发配置,您必须先删除引用该证书的 Google 管理的证书。
如需完成此任务,您必须拥有 目标 Google Cloud 项目。
如需了解详情,请参阅角色和权限。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在发行配置标签页中,选中要删除的发行配置对应的复选框。
点击删除。
在显示的对话框中,点击删除进行确认。
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
替换以下内容:
ISSUANCE_CONFIG_NAME是目标证书颁发配置的名称。
API
向 certificateIssuanceConfigs.delete 方法发出 DELETE 请求,删除证书颁发配置,如下所示:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID是目标 Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME是目标证书颁发配置的名称。