本页介绍了如何创建和管理证书颁发配置资源。
如需详细了解证书颁发配置资源,请参阅 Certificate Manager 的运作方式。
创建证书颁发配置资源
在创建签发配置资源之前,请配置 CA 服务与证书管理器的集成。
如需创建证书颁发配置资源,请指定证书的有效期、轮替期限百分比、密钥算法以及要使用的 CA 池。
即使您使用区域 CA 池颁发 Google 管理的 TLS 证书,该证书也可以在全球范围内使用。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在签发配置标签页上,点击创建。
在名称字段中,为证书颁发配置资源输入一个唯一名称。
可选:在说明字段中,输入发行配置的说明。
对于位置,选择全球或区域级。如果您选择了区域级,请选择与证书和 CA 池相同的区域。
在 Lifetime(有效期)字段中,以天为单位指定已颁发证书的有效期。该值必须介于 21 天到 30 天之间(包括这两个数值)。
对于轮替窗口百分比,请指定证书续订流程开始时所占生命周期的百分比。如需查找有效值的范围,请参阅生命周期和轮替期百分比。
从密钥算法列表中,选择生成私钥时要使用的密钥算法。
从 CA 池列表中,选择要分配给此证书颁发配置资源的 CA 池的名称。
在标签字段中,指定要与证书关联的标签。如需添加标签,请点击 添加标签,然后为标签指定键和值。
点击创建。
gcloud
如需创建证书颁发配置资源,请使用 certificate-manager issuance-configs create 命令:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
替换以下内容:
ISSUANCE_CONFIG_NAME:引用目标 CA 池的证书颁发配置资源的名称。CA_POOL:您要分配给证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME:证书有效期(以天为单位)。有效值为 21 到 30 天,采用绝对时长格式。默认值为 30 天 (30D)。此标志是可选的。ROTATION_WINDOW_PERCENTAGE:证书在续订前剩余生命周期的百分比。默认值是 66%。如需查找有效值的范围,请参阅 [生命周期和轮替窗口百分比](#lifetime-rotation-percentage)。此标志不是必需的。KEY_ALGORITHM:用于生成私钥的加密算法。有效值为ecdsa-p256或rsa-2048。 默认值为rsa-2048。此标志不是必需的。LOCATION:目标 Google Cloud 位置。
API
向 certificateIssuanceConfigs.create 方法发出 POST 请求,以创建证书颁发配置资源,如下所示:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
替换以下内容:
PROJECT_ID:Google Cloud 项目的 ID。LOCATION:目标 Google Cloud 位置。ISSUANCE_CONFIG_NAME:引用目标 CA 池的证书颁发配置资源的名称。DESCRIPTION:证书颁发配置资源的富有意义的说明。CA_POOL:您要分配给证书颁发配置资源的 CA 池的完整资源路径和名称。CERTIFICATE_LIFETIME:证书有效期(以天为单位)。有效值为 21 到 30 天,采用绝对时长格式。默认值为 30 天 (30D)。此标志是可选的。ROTATION_WINDOW_PERCENTAGE:证书在续订前剩余生命周期的百分比。默认值是 66%。如需查找有效值的范围,请参阅 [生命周期和轮替窗口百分比](#lifetime-rotation-percentage)。此标志不是必需的。KEY_ALGORITHM:用于生成私钥的加密算法。有效值为ecdsa-p256或rsa-2048。 默认值为rsa-2048。此标志不是必需的。
生命周期和轮替窗口百分比
创建证书颁发配置资源时,您还需要在生命周期字段中定义证书的生命周期,并在轮替窗口百分比字段中定义证书在到期前开始续订的时间。
为确保证书在到期前至少提前 7 天续订,并在颁发后至少 7 天续订,请根据证书的生命周期设置轮替窗口百分比。如需计算轮替期百分比的允许范围,请使用以下公式:
- 最小值:轮替窗口百分比 ≥ (7 / 生命周期) * 100
- 最大值:轮替窗口百分比 ≤ ( (生命周期 - 7) / 生命周期) * 100
在前面的公式中,7 为 7 天。
如果最小值是小数值,请将其向上舍入为最接近的整数。如果最大值是小数值,请将其向下舍入为最接近的整数。
列出证书颁发配置
您可以查看项目的所有证书颁发配置资源及其详细信息。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
点击发卡配置标签页。该标签页会列出所选项目中由 Certificate Manager 管理的所有证书颁发配置资源。
gcloud
如需列出证书颁发配置资源,请使用 certificate-manager issuance-configs list 命令:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
替换以下内容:
FILTER:用于将返回的结果限制为特定值的表达式。例如,如需按标签和创建时间过滤结果,您可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需查看可在 Certificate Manager 中使用的更多过滤示例,请参阅 Cloud Key Management Service 文档中的对列表结果进行排序和过滤部分。
PAGE_SIZE:每页返回的结果数。LIMIT:要返回的结果数的上限。SORT_BY:用于对返回结果进行排序的name字段的英文逗号分隔列表。默认排序顺序为升序;如需降序排序,请在字段前面加上波浪号 (~)。LOCATION:目标 Google Cloud 位置。
API
向 certificateIssuanceConfigs.list 方法发出 LIST 请求,以列出已配置的证书颁发配置资源,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
替换以下内容:
PROJECT_ID:Google Cloud 项目的 ID。FILTER:用于将返回的结果限制为特定值的表达式。例如,如需按标签和创建时间过滤结果,您可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需查看可与 Certificate Manager 搭配使用的更多过滤示例,请参阅 Cloud Key Management Service 文档中的对列表结果进行排序和过滤。
PAGE_SIZE:每页返回的结果数。SORT_BY:用于对返回结果进行排序的name字段的英文逗号分隔列表。默认排序顺序为升序;如需降序排序,请在字段前面加上波浪号 (~)。
查看证书颁发配置资源的状态
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
点击发卡配置标签页。
点击要查看的证书颁发配置资源的名称。Google Cloud 控制台会显示证书颁发配置资源的详细信息。
gcloud
如需查看证书颁发配置资源的状态,请使用 certificate-manager issuance-configs describe 命令:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
将 ISSUANCE_CONFIG_NAME 替换为引用目标 CA 池的证书颁发配置资源的名称。
API
如需查看证书颁发配置资源的状态,请向 certificateIssuanceConfigs.get 方法发出 GET 请求,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID:Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME:引用目标 CA 池的证书颁发配置资源的名称。
删除证书颁发配置资源
在删除证书颁发配置资源之前,您必须先删除引用该资源的 Google 管理的证书。
如需停用证书颁发配置资源中引用的 CA 池中您最近启用的 CA,或完全删除 CA 池,您必须先删除引用该 CA 池的所有证书颁发配置资源。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在发卡配置标签页中,选中要删除的发卡配置对应的复选框。
点击删除。
在显示的对话框中,点击删除进行确认。
gcloud
如需删除证书颁发配置资源,请使用 certificate-manager issuance-configs delete 命令:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
替换以下内容:
ISSUANCE_CONFIG_NAME:引用目标 CA 池的证书颁发配置资源的名称。LOCATION:目标 Google Cloud 位置。
API
如需删除证书颁发配置资源,请按如下所示向 certificateIssuanceConfigs.delete 方法发出 DELETE 请求:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
替换以下内容:
PROJECT_ID:Google Cloud 项目的 ID。ISSUANCE_CONFIG_NAME:引用目标 CA 池的证书颁发配置资源的名称。