Gérer les ressources de configuration de l'émission de certificats

Cette page explique comment créer et gérer une ressource de configuration d'émission de certificats.

Pour en savoir plus sur les ressources de configuration de l'émission de certificats, consultez la section Fonctionnement du gestionnaire de certificats.

Créer une ressource de configuration d'émission de certificats

Avant de créer la ressource de configuration d'émission, configurez l'intégration du service d'autorité de certification avec le Gestionnaire de certificats.

Pour créer une ressource de configuration d'émission de certificats, spécifiez la durée de vie du certificat, le pourcentage de la période de rotation, l'algorithme de clé et le pool d'autorités de certification à utiliser.

Même si vous utilisez un pool d'autorités de certification régionales pour émettre un certificat TLS géré par Google, le certificat peut être utilisé dans le monde entier.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Configurations d'émission, cliquez sur Créer.

  3. Dans le champ Name (Nom), saisissez un nom unique pour la ressource de configuration d'émission de certificats.

  4. Facultatif: Dans le champ Description, saisissez une description de la configuration d'émission.

  5. Pour Emplacement, sélectionnez Mondial ou Régional. Si vous avez sélectionné Régional, sélectionnez la même Région que votre certificat et votre pool d'autorités de certification.

  6. Dans le champ Lifetime (Durée de vie), spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).

  7. Dans Rotation window percentage (Pourcentage de la période de rotation), indiquez le pourcentage de la durée de vie du certificat au début de son processus de renouvellement. Pour connaître la plage de valeurs valides, consultez la section Pourcentage de la durée de vie et de la période de rotation.

  8. Dans la liste Algorithme de clé, sélectionnez l'algorithme de clé à utiliser lors de la génération de la clé privée.

  9. Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette ressource de configuration d'émission de certificats.

  10. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  11. Cliquez sur Créer.

gcloud

Pour créer une ressource de configuration d'émission de certificats, utilisez la commande certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificat.
  • CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides vont de 21 à 30 jours au format durée absolue. La valeur par défaut est 30 jours (30D). Cet indicateur est facultatif.
  • ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant son renouvellement. La valeur par défaut est 66%. Pour connaître la plage de valeurs valides, consultez la section [Période de rotation (pourcentage) et durée de vie](#lifetime-rotation-percentage). Cette option est facultative.
  • KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048. Cette option est facultative.
  • LOCATION: emplacement Google Cloud cible.

API

Créez la ressource de configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • LOCATION: emplacement Google Cloud cible.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • DESCRIPTION: description pertinente de la ressource de configuration d'émission de certificat.
  • CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificat.
  • CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides vont de 21 à 30 jours au format durée absolue. La valeur par défaut est 30 jours (30D). Cet indicateur est facultatif.
  • ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant son renouvellement. La valeur par défaut est 66%. Pour connaître la plage de valeurs valides, consultez la section [Période de rotation (pourcentage) et durée de vie](#lifetime-rotation-percentage). Cette option est facultative.
  • KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sont ecdsa-p256 ou rsa-2048. La valeur par défaut est rsa-2048. Cette option est facultative.

Durée de vie et pourcentage de la période de rotation

Lorsque vous créez une ressource de configuration d'émission de certificats, vous définissez également la durée de validité du certificat dans le champ Durée de validité et le moment où le processus de renouvellement du certificat commence avant son expiration dans le champ Pourcentage de la période de rotation.

Pour vous assurer que le certificat est renouvelé au moins sept jours avant son expiration et sept jours après son émission, définissez le pourcentage de la période de rotation par rapport à la durée de validité du certificat. Pour calculer la plage autorisée pour le pourcentage de la fenêtre de rotation, utilisez les formules suivantes:

  • Valeur minimale: pourcentage de la période de rotation ≥ (7 / Durée de vie) * 100
  • Valeur maximale: pourcentage de la période de rotation ≤ ( (Durée de vie - 7) / Durée de vie) * 100

Dans les formules précédentes, 7 correspond à sept jours.

Si la valeur minimale est une valeur décimale, arrondissez-la à l'entier supérieur le plus proche. Si la valeur maximale est une valeur décimale, arrondissez-la à l'entier inférieur le plus proche.

Lister les configurations d'émission de certificats

Vous pouvez afficher toutes les ressources de configuration d'émission de certificats de votre projet et leurs détails.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Configurations d'émission. L'onglet répertorie toutes les ressources de configuration d'émission de certificats gérées par le Gestionnaire de certificats dans le projet sélectionné.

gcloud

Pour lister les ressources de configuration d'émission de certificats, utilisez la commande certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Remplacez les éléments suivants :

  • FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, pour filtrer les résultats par libellé et heure de création, vous pouvez spécifier : --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE: nombre de résultats à renvoyer par page.

  • LIMIT: nombre maximal de résultats à renvoyer.

  • SORT_BY: liste de champs name séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) au champ.

  • LOCATION: emplacement Google Cloud cible.

API

Répertoriez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.

  • FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, pour filtrer les résultats par libellé et heure de création, vous pouvez spécifier : --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE: nombre de résultats à renvoyer par page.

  • SORT_BY: liste de champs name séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) au champ.

Afficher l'état d'une ressource de configuration d'émission de certificats

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Configurations d'émission.

  3. Cliquez sur le nom de la ressource de configuration d'émission de certificats que vous souhaitez afficher. La console Google Cloud affiche les détails de la ressource de configuration de l'émission de certificats.

gcloud

Pour afficher l'état d'une ressource de configuration d'émission de certificats, utilisez la commande certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Remplacez ISSUANCE_CONFIG_NAME par le nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.

API

Affichez l'état de la ressource de configuration de l'émission de certificats en envoyant une requête GET à la méthode certificateIssuanceConfigs.get comme suit:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.

Supprimer une ressource de configuration d'émission de certificats

Avant de supprimer une ressource de configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.

Pour désactiver la dernière autorité de certification que vous avez activée dans un pool d'autorités de certification référencé dans la ressource de configuration d'émission de certificats ou pour supprimer complètement le pool d'autorités de certification, vous devez d'abord supprimer toutes les ressources de configuration d'émission de certificats qui référencent le pool d'autorités de certification.

Console

  1. Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Configurations d'émission, cochez la case correspondant à la configuration d'émission que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.

gcloud

Pour supprimer une ressource de configuration d'émission de certificats, exécutez la commande certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Remplacez les éléments suivants :

  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • LOCATION: emplacement Google Cloud cible.

API

Supprimez la ressource de configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Remplacez les éléments suivants :

  • PROJECT_ID: ID du projet Google Cloud.
  • ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.

Étape suivante