Gérer la configuration d'émission de certificats

Cette page explique comment créer et gérer une configuration d'émission de certificats.

Pour en savoir plus sur les ressources de configuration pour l'émission de certificats, consultez la page Fonctionnement du gestionnaire de certificats.

N'oubliez pas que pour désactiver la dernière autorité de certification activée dans le pool d'autorités de certification référencé dans la configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification référencé, vous devez d'abord supprimer chaque configuration d'émission de certificats qui fait référence à ce pool.

Pour savoir comment déployer un certificat avec le gestionnaire de certificats, consultez la section Présentation du déploiement.

Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez la documentation de référence de la CLI Certificate Manager.

Créer une configuration d'émission de certificats

Pour créer une configuration d'émission de certificats, suivez la procédure décrite dans cette section.

Gardez à l'esprit que même si vous utilisez un pool d'autorités de certification régional pour émettre un certificat TLS géré par Google, le certificat lui-même est global et peut être utilisé dans n'importe quelle région.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est un nom unique qui identifie cette ressource de configuration d'émission de certificats.
  • CA_POOL est le chemin d'accès complet à la ressource et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
  • CERTIFICATE_LIFETIME (facultatif) correspond à la durée de vie du certificat, en jours. Les valeurs valides sont comprises entre 21 et 30 jours. La valeur par défaut est de 30 jours.
  • ROTATION_WINDOW_PERCENTAGE (facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement se déclenche. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat, de sorte que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.
    • Le certificat doit être renouvelé au moins sept jours complets après son expiration.
  • KEY_ALGORITHM (facultatif) est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048.

API

Créez la configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG_NAME est un nom unique qui identifie cette ressource de configuration d'émission de certificats.
  • DESCRIPTION (facultatif) est une description pertinente de cette ressource de configuration d'émission de certificats.
  • CA_POOL est le chemin d'accès complet à la ressource et le nom du pool d'autorités de certification que vous souhaitez attribuer à cette ressource de configuration d'émission de certificats.
    • CERTIFICATE_LIFETIME (facultatif) correspond à la durée de vie du certificat, en jours. Les valeurs valides sont comprises entre 21 et 30 jours selon le format de durée standard. La valeur par défaut est de 30 jours (30D).
  • ROTATION_WINDOW_PERCENTAGE (facultatif) correspond au pourcentage de la durée de vie du certificat à partir duquel le renouvellement se déclenche. La valeur par défaut est 66 %. Vous devez définir le pourcentage de la période de rotation par rapport à la durée de vie du certificat, de sorte que son renouvellement ait lieu au moins sept jours après son émission et au moins sept jours avant son expiration.
  • KEY_ALGORITHM est l'algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048.

Mettre à jour une ressource de configuration d'émission de certificats

Pour mettre à jour une ressource de configuration d'émission de certificats, vous devez la supprimer et la recréer.

Répertorier les ressources de configuration d'émission de certificats

Pour répertorier les ressources de configuration pour l'émission de certificats, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration pour l'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • FILTER est une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats en fonction des critères suivants:

    • Étiquettes et date et heure de création: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour plus d'exemples de filtrage utilisables avec le gestionnaire de certificats, consultez la section Trier et filtrer les résultats d'une liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE est le nombre de résultats à renvoyer par page.

  • LIMIT est le nombre maximal de résultats à renvoyer.

  • SORT_BY est une liste de champs name séparés par une virgule en fonction de laquelle les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour l'ordre de tri décroissant, ajoutez un tilde (~) devant le champ.

API

Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • FILTER est une expression qui limite les résultats renvoyés à des valeurs spécifiques.
  • PAGE_SIZE est le nombre de résultats à renvoyer par page.
  • SORT_BY est une liste de noms de champs séparés par une virgule en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez le préfixe ~ au champ.

Afficher l'état d'une configuration d'émission de certificats

Pour afficher l'état d'une configuration d'émission de certificats, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Issuance Configs (Configurations d'émission). Cet onglet répertorie toutes les ressources de configuration pour l'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné.

  3. Cliquez sur la configuration d'émission de certificats que vous souhaitez afficher.

La console Google Cloud affiche les détails de la configuration d'émission des certificats.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission du certificat cible.

API

Affichez l'état de la configuration d'émission du certificat en envoyant une requête GET à la méthode certificateIssuanceConfigs.get comme suit:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG__NAME est le nom de la configuration d'émission du certificat cible.

Supprimer une configuration d'émission de certificats

Pour supprimer une configuration d'émission de certificats, suivez la procédure décrite dans cette section. Avant de supprimer une configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.

Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du gestionnaire de certificats sur le projet Google Cloud cible.

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission du certificat cible.

API

Supprimez la configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • ISSUANCE_CONFIG_NAME est le nom de la configuration d'émission du certificat cible.

Étapes suivantes