Gérer la configuration d'émission de certificats

Cette page explique comment créer et gérer une configuration d'émission de certificats.

Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Fonctionnement du gestionnaire de certificats

N'oubliez pas que pour désactiver la dernière autorité de certification que vous avez activée dans le pool d'autorités de certification référencé dans la configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer toutes les configurations d'émission de certificats qui y font référence.

Pour savoir comment déployer un certificat avec le Gestionnaire de certificats, consultez la section Présentation du déploiement.

Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez les Documentation de référence de la CLI du gestionnaire de certificats.

Créer une configuration d'émission de certificats

Pour créer une configuration d'émission de certificats, suivez les étapes décrites dans cette section.

Même si vous utilisez un pool d'autorités de certification régional pour émettre une instance certificat TLS, le certificat lui-même est mondial et peut être utilisé dans n'importe quelle région.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Dans l'onglet Configurations d'émission, cliquez sur Créer.

  3. Dans le champ Nom, saisissez un nom unique pour la configuration d'émission de certificats.

  4. Facultatif: Dans le champ Description, saisissez une description pour la configuration d'émission.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez la Région.

  6. Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).

  7. Dans le champ Pourcentage de la période de rotation, spécifiez le pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation.

  8. Dans la liste Algorithme de clé, sélectionnez l'algorithme à utiliser pour générer la clé privée.

  9. Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.

  10. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.

  11. Cliquez sur Créer.

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est un nom unique qui identifie cette ressource de configuration d'émission de certificats.
  • CA_POOL correspond au chemin d'accès complet et au nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
  • CERTIFICATE_LIFETIME (facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours. La valeur par défaut est de 30 jours.
  • ROTATION_WINDOW_PERCENTAGE (facultatif) correspond au pourcentage de la durée de vie du certificat au début de son processus de renouvellement. La valeur par défaut est 66 %. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.
  • KEY_ALGORITHM (facultatif) est l'algorithme de chiffrement permettant de générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048.

API

Créez la configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit :

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG_NAME est un nom unique qui identifie cette ressource de configuration d'émission de certificats.
  • DESCRIPTION (facultatif) est une description pertinente pour cette ressource de configuration d'émission de certificats.
  • CA_POOL correspond au chemin d'accès complet et au nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
  • CERTIFICATE_LIFETIME (facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours dans format de durée standard. La valeur par défaut est de 30 jours (30D).
  • ROTATION_WINDOW_PERCENTAGE (facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le processus de renouvellement commence. La valeur par défaut est 66 %. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.
  • KEY_ALGORITHM est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048.

Durée de vie et pourcentage de la période de rotation

Lorsque vous créez une configuration d'émission de certificats, vous définissez également la durée de vie du certificat dans le champ Durée de vie et le moment où le processus de renouvellement du certificat commence avant son expiration dans le champ Pourcentage de la période de rotation.

Pour vous assurer que le certificat est renouvelé au moins sept jours avant son expiration et sept jours après son émission, définissez le pourcentage de la période de rotation par rapport à la durée de vie du certificat. Pour calculer la plage autorisée pour le pourcentage de fenêtre de rotation, utilisez les formules suivantes:

  • Valeur minimale: pourcentage de la période de rotation ≥ (7 / durée de vie) * 100
  • Valeur maximale : pourcentage de la période de rotation ≤ ( (Durée de vie - 7) / Durée de vie) * 100

Dans les formules précédentes, 7 correspond à sept jours.

Si la valeur minimale est une valeur décimale, arrondie à la valeur supérieure à l'entier le plus proche. Si la valeur maximale est une valeur décimale, arrondissez-la à l'entier inférieur le plus proche.

Répertorier les configurations d'émission de certificats

Pour répertorier les configurations d'émission de certificats, suivez les étapes de ce .

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Configurations d'émission.

L'onglet liste toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • FILTER est une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, pour filtrer les résultats selon et l'heure de création, vous pouvez spécifier: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour accéder à d'autres exemples de filtrage à utiliser avec le gestionnaire de certificats, Voir la section Trier et filtrer les résultats sous forme de listes dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE est le nombre de résultats à renvoyer par page.

  • LIMIT est le nombre maximal de résultats à renvoyer.

  • SORT_BY est une liste de champs name séparés par une virgule, les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant ; pour ordre de tri décroissant, ajoutez un tilde (~) devant le champ.

API

Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit :

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • FILTER est une expression qui limite l'expression les résultats à des valeurs spécifiques.
  • PAGE_SIZE est le nombre de résultats à renvoyer par page.
  • SORT_BY est une liste de noms de champs séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un préfixe ~ au champ.

Afficher l'état d'une configuration d'émission de certificats

Pour afficher l'état d'une configuration d'émission de certificats, suivez les étapes décrites dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Cliquez sur l'onglet Configurations d'émission.

  3. Cliquez sur le nom de la configuration d'émission de certificats que vous souhaitez afficher.

La console Google Cloud affiche les détails de la configuration d'émission des certificats.

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission de certificats cible.

API

Affichez l'état de la configuration d'émission du certificat en envoyant une requête GET au certificateIssuanceConfigs.get. comme suit:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG__NAME est le nom de la configuration d'émission de certificats cible.

Mettre à jour une configuration d'émission de certificats

Vous pouvez ajouter ou modifier les libellés et les descriptions de votre configuration d'émission de certificats à l'aide de la Google Cloud CLI ou de l'API.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

En savoir plus sur les rôles et autorisations

gcloud

Utilisez la commande gcloud certificate-manager issuance-configs update pour mettre à jour une configuration d'émission de certificats :

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est le nom de la cible. que vous souhaitez mettre à jour.
  • Facultatif: LABELS correspond à une ou plusieurs étiquettes que vous souhaitez spécifier pour la configuration d’émission de certificats. Les étiquettes doivent être spécifiées dans une liste d'éléments séparés par une virgule sous forme de paires KEY=VALUE.
  • Facultatif : DESCRIPTION décrit la configuration de l'émission de certificats.

API

Utilisez la méthode certificateIssuanceConfigs.patch pour mettre à jour une configuration d'émission de certificats :

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG_NAME est le nom de la cible. que vous souhaitez mettre à jour.
  • Facultatif : vous pouvez spécifier un ou plusieurs libellés pour chaque configuration d'émission de certificats.
    • LABEL_KEY est la clé du libellé.
    • LABEL_VALUE_ est la valeur du libellé.
  • Facultatif : DESCRIPTION décrit la configuration de l'émission de certificats.

Supprimer une configuration d'émission de certificats

Pour supprimer une configuration d'émission de certificats, suivez la procédure décrite dans cette section. Avant de supprimer une configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.

Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du Gestionnaire de certificats dans le projet Google Cloud cible.

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Dans l'onglet Configurations d'émission, cochez la case correspondant à la configuration d'émission que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission de certificats cible.

API

Supprimez la configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit :

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission de certificats cibles.

Étape suivante