Cette page explique comment créer et gérer une configuration d'émission de certificats.
Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Fonctionnement du gestionnaire de certificats
N'oubliez pas que pour désactiver la dernière autorité de certification que vous avez activée dans le pool d'autorités de certification référencé dans la configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer toutes les configurations d'émission de certificats qui y font référence.
Pour savoir comment déployer un certificat avec le Gestionnaire de certificats, consultez la section Présentation du déploiement.
Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez les
Documentation de référence de la CLI du gestionnaire de certificats.
Créer une configuration d'émission de certificats
Pour créer une configuration d'émission de certificats, suivez les étapes décrites dans cette section.
Même si vous utilisez un pool d'autorités de certification régional pour émettre une instance certificat TLS, le certificat lui-même est mondial et peut être utilisé dans n'importe quelle région.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Configurations d'émission, cliquez sur Créer.
Dans le champ Nom, saisissez un nom unique pour la configuration d'émission de certificats.
Facultatif: Dans le champ Description, saisissez une description pour la configuration d'émission.
Pour Emplacement, sélectionnez Mondial ou Régional.
Si vous avez sélectionné Régional, sélectionnez la Région.
Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
Dans le champ Pourcentage de la période de rotation, spécifiez le pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la période de suivi et de la période de rotation.
Dans la liste Algorithme de clé, sélectionnez l'algorithme à utiliser pour générer la clé privée.
Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette configuration d'émission de certificats.
Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez un
keyet unvaluepour votre libellé.Cliquez sur Créer.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest un nom unique qui identifie cette ressource de configuration d'émission de certificats.CA_POOLcorrespond au chemin d'accès complet et au nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME(facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours. La valeur par défaut est de 30 jours.ROTATION_WINDOW_PERCENTAGE(facultatif) correspond au pourcentage de la durée de vie du certificat au début de son processus de renouvellement. La valeur par défaut est 66 %. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.KEY_ALGORITHM(facultatif) est l'algorithme de chiffrement permettant de générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048.
API
Créez la configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit :
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAMEest un nom unique qui identifie cette ressource de configuration d'émission de certificats.DESCRIPTION(facultatif) est une description pertinente pour cette ressource de configuration d'émission de certificats.CA_POOLcorrespond au chemin d'accès complet et au nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME(facultatif) est la durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours dans format de durée standard. La valeur par défaut est de 30 jours (30D).ROTATION_WINDOW_PERCENTAGE(facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le processus de renouvellement commence. La valeur par défaut est 66 %. Pour trouver la plage de valeurs valides, consultez Pourcentage de la période de suivi de la durée de vie et de la période de rotation.KEY_ALGORITHMest l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048.
Durée de vie et pourcentage de la période de rotation
Lorsque vous créez une configuration d'émission de certificats, vous définissez également la durée de vie du certificat dans le champ Durée de vie et le moment où le processus de renouvellement du certificat commence avant son expiration dans le champ Pourcentage de la période de rotation.
Pour vous assurer que le certificat est renouvelé au moins sept jours avant son expiration et sept jours après son émission, définissez le pourcentage de la période de rotation par rapport à la durée de vie du certificat. Pour calculer la plage autorisée pour le pourcentage de fenêtre de rotation, utilisez les formules suivantes:
- Valeur minimale: pourcentage de la période de rotation ≥ (7 / durée de vie) * 100
- Valeur maximale : pourcentage de la période de rotation ≤ ( (Durée de vie - 7) / Durée de vie) * 100
Dans les formules précédentes, 7 correspond à sept jours.
Si la valeur minimale est une valeur décimale, arrondie à la valeur supérieure à l'entier le plus proche. Si la valeur maximale est une valeur décimale, arrondissez-la à l'entier inférieur le plus proche.
Répertorier les configurations d'émission de certificats
Pour répertorier les configurations d'émission de certificats, suivez les étapes de ce .
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Configurations d'émission.
L'onglet liste toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Remplacez les éléments suivants :
FILTERest une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, pour filtrer les résultats selon et l'heure de création, vous pouvez spécifier:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour accéder à d'autres exemples de filtrage à utiliser avec le gestionnaire de certificats, Voir la section Trier et filtrer les résultats sous forme de listes dans la documentation de Cloud Key Management Service.
PAGE_SIZEest le nombre de résultats à renvoyer par page.LIMITest le nombre maximal de résultats à renvoyer.SORT_BYest une liste de champsnameséparés par une virgule, les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant ; pour ordre de tri décroissant, ajoutez un tilde (~) devant le champ.
API
Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit :
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.FILTERest une expression qui limite l'expression les résultats à des valeurs spécifiques.PAGE_SIZEest le nombre de résultats à renvoyer par page.SORT_BYest une liste de noms de champs séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un préfixe~au champ.
Afficher l'état d'une configuration d'émission de certificats
Pour afficher l'état d'une configuration d'émission de certificats, suivez les étapes décrites dans cette section.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Lecteur du gestionnaire de certificats
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Configurations d'émission.
Cliquez sur le nom de la configuration d'émission de certificats que vous souhaitez afficher.
La console Google Cloud affiche les détails de la configuration d'émission des certificats.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cible.
API
Affichez l'état de la configuration d'émission du certificat en envoyant une requête GET au certificateIssuanceConfigs.get.
comme suit:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG__NAMEest le nom de la configuration d'émission de certificats cible.
Mettre à jour une configuration d'émission de certificats
Vous pouvez ajouter ou modifier les libellés et les descriptions de votre configuration d'émission de certificats à l'aide de la Google Cloud CLI ou de l'API.
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :
- Éditeur du gestionnaire de certificats
- Propriétaire du gestionnaire de certificats
En savoir plus sur les rôles et autorisations
gcloud
Utilisez la commande gcloud certificate-manager issuance-configs update pour mettre à jour une configuration d'émission de certificats :
gcloud certificate-manager issuance-configs update \
ISSUANCE_CONFIG_NAME
--update-labels="LABELS" \
--description="DESCRIPTION"
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest le nom de la cible. que vous souhaitez mettre à jour.- Facultatif:
LABELScorrespond à une ou plusieurs étiquettes que vous souhaitez spécifier pour la configuration d’émission de certificats. Les étiquettes doivent être spécifiées dans une liste d'éléments séparés par une virgule sous forme de pairesKEY=VALUE. - Facultatif :
DESCRIPTIONdécrit la configuration de l'émission de certificats.
API
Utilisez la méthode certificateIssuanceConfigs.patch pour mettre à jour une configuration d'émission de certificats :
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAMEest le nom de la cible. que vous souhaitez mettre à jour.- Facultatif : vous pouvez spécifier un ou plusieurs libellés pour chaque configuration d'émission de certificats.
LABEL_KEYest la clé du libellé.LABEL_VALUE_est la valeur du libellé.
- Facultatif :
DESCRIPTIONdécrit la configuration de l'émission de certificats.
Supprimer une configuration d'émission de certificats
Pour supprimer une configuration d'émission de certificats, suivez la procédure décrite dans cette section. Avant de supprimer une configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.
Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du Gestionnaire de certificats dans le projet Google Cloud cible.
Pour en savoir plus, consultez la section Rôles et autorisations.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Configurations d'émission, cochez la case correspondant à la configuration d'émission que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cible.
API
Supprimez la configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit :
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_IDest l'ID du projet Google Cloud cible.ISSUANCE_CONFIG_NAMEest le nom de la configuration d'émission de certificats cibles.
Étape suivante
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS