Cette page explique comment créer et gérer une configuration d'émission de certificats.
Pour en savoir plus sur les ressources de configuration pour l'émission de certificats, consultez la page Fonctionnement du gestionnaire de certificats.
N'oubliez pas que pour désactiver la dernière autorité de certification activée dans le pool d'autorités de certification référencé dans la configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer chaque configuration d'émission de certificats qui fait référence à ce pool.
Pour savoir comment déployer un certificat avec le gestionnaire de certificats, consultez la section Présentation du déploiement.
Pour en savoir plus sur les commandes gcloud
utilisées sur cette page, consultez la documentation de référence de la CLI Certificate Manager.
Créer une configuration d'émission de certificats
Pour créer une configuration d'émission de certificats, suivez la procédure décrite dans cette section.
Gardez à l'esprit que même si vous utilisez un pool d'autorités de certification régional pour émettre un certificat TLS géré par Google, le certificat lui-même est global et peut être utilisé dans n'importe quelle région.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME
est un nom unique qui identifie cette ressource de configuration d'émission de certificats.CA_POOL
est le chemin d'accès complet à la ressource et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME
(facultatif) correspond à la durée de vie du certificat, en jours. Les valeurs valides sont comprises entre 21 et 30 jours. La valeur par défaut est de 30 jours.ROTATION_WINDOW_PERCENTAGE
(facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement se déclenche. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat, de sorte que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.- Le certificat doit être renouvelé au moins sept jours complets après son expiration.
KEY_ALGORITHM
(facultatif) est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256
oursa-2048
. La valeur par défaut estrsa-2048
.
API
Créez la configuration d'émission de certificats en envoyant une requête POST
à la méthode certificateIssuanceConfigs.create
comme suit:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Remplacez les éléments suivants :
PROJECT_ID
est l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAME
est un nom unique qui identifie cette ressource de configuration d'émission de certificats.DESCRIPTION
(facultatif) est une description pertinente de cette ressource de configuration d'émission de certificats.CA_POOL
est le chemin d'accès complet à la ressource et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME
(facultatif) correspond à la durée de vie du certificat, en jours. Les valeurs valides sont comprises entre 21 et 30 jours selon le format de durée standard. La valeur par défaut est de 30 jours (30D
).
ROTATION_WINDOW_PERCENTAGE
(facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement se déclenche. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat, de sorte que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.KEY_ALGORITHM
est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256
oursa-2048
. La valeur par défaut estrsa-2048
.
Mettre à jour une ressource de configuration d'émission de certificats
Pour mettre à jour une ressource de configuration d'émission de certificats, vous devez la supprimer et la recréer.
Répertorier les ressources de configuration d'émission de certificats
Pour répertorier les ressources de configuration pour l'émission de certificats, suivez la procédure décrite dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration pour l'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Remplacez les éléments suivants :
FILTER
est une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats en fonction des critères suivants:- Étiquettes et date et heure de création:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Pour plus d'exemples de filtrage utilisables avec le gestionnaire de certificats, consultez la section Trier et filtrer les résultats d'une liste dans la documentation de Cloud Key Management Service.
- Étiquettes et date et heure de création:
PAGE_SIZE
est le nombre de résultats à renvoyer par page.LIMIT
est le nombre maximal de résultats à renvoyer.SORT_BY
est une liste de champsname
séparés par une virgule en fonction de laquelle les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour l'ordre de tri décroissant, ajoutez un tilde (~
) devant le champ.
API
Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST
à la méthode certificateIssuanceConfigs.list
comme suit:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID
est l'ID du projet Google Cloud cible.FILTER
est une expression qui limite les résultats renvoyés à des valeurs spécifiques.PAGE_SIZE
est le nombre de résultats à renvoyer par page.SORT_BY
est une liste de noms de champs séparés par une virgule en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez le préfixe~
au champ.
Afficher l'état d'une configuration d'émission de certificats
Pour afficher l'état d'une configuration d'émission de certificats, suivez la procédure décrite dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration pour l'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.
Cliquez sur la configuration d'émission de certificats que vous souhaitez afficher.
La console Google Cloud affiche les détails de la configuration d'émission des certificats.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME
est le nom de la configuration d'émission du certificat cible.
API
Affichez l'état de la configuration d'émission du certificat en envoyant une requête GET
à la méthode certificateIssuanceConfigs.get
comme suit:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID
est l'ID du projet Google Cloud cible.ISSUANCE_CONFIG__NAME
est le nom de la configuration d'émission du certificat cible.
Supprimer une configuration d'émission de certificats
Pour supprimer une configuration d'émission de certificats, suivez la procédure décrite dans cette section. Avant de supprimer une configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.
Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du gestionnaire de certificats sur le projet Google Cloud cible.
Pour en savoir plus, consultez la section Rôles et autorisations.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME
est le nom de la configuration d'émission du certificat cible.
API
Supprimez la configuration d'émission de certificats en envoyant une requête DELETE
à la méthode certificateIssuanceConfigs.delete
comme suit:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID
est l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAME
est le nom de la configuration d'émission du certificat cible.
Étapes suivantes
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS