証明書発行の構成を管理する

このページでは、証明書発行の構成を作成および管理する方法について説明します。

証明書発行の構成リソースの詳細については、Certificate Manager の仕組みをご覧ください。

証明書発行の構成で参照されている CA プールで最後に有効にした CA を無効にする場合や、参照される CA プールを完全に削除する場合は、まず、その CA プールを参照するすべての証明書発行の構成を削除する必要があります。

Certificate Manager を使用して証明書をデプロイする方法については、デプロイの概要をご覧ください。

このページで使用されている gcloud コマンドの詳細については、Certificate Manager CLI のリファレンスをご覧ください。

証明書発行の構成を作成する

証明書発行の構成を作成するには、このセクションの手順を行います。

リージョン CA プールを使用して Google マネージド TLS 証明書を発行しても、証明書自体はグローバルであり、どのリージョンでも使用できることに注意してください。

このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。

  • Certificate Manager 編集者
  • Certificate Manager オーナー

詳細については、ロールと権限をご覧ください。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行の構成] タブで、[作成] をクリックします。

  3. [名前] フィールドに、証明書発行の構成の一意の名前を入力します。

  4. 省略可: [説明] フィールドに、発行の構成の説明を入力します。

  5. [ロケーション] で [グローバル] または [リージョン] を選択します。

    [リージョン] を選択した場合は、[リージョン] を選択します。

  6. [存続期間] フィールドに、発行する証明書の有効期間を日数で指定します。値は 21~30 日の範囲で指定してください。

  7. [ローテーション時間枠の割合] で、更新プロセスを開始するときの証明書の存続期間の割合を指定します。有効な値の範囲については、存続期間とローテーション時間枠の割合をご覧ください。

  8. [鍵アルゴリズム] リストから、秘密鍵の生成時に使用する鍵アルゴリズムを選択します。

  9. [CA プール] リストから、この証明書発行の構成に割り当てる CA プールの名前を選択します。

  10. [ラベル] フィールドで、証明書に関連付けるラベルを指定します。ラベルを追加するには、[ ラベルを追加] をクリックして、ラベルの keyvalue を指定します。

  11. [作成] をクリックします。

gcloud

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

以下のように置き換えます。

  • ISSUANCE_CONFIG_NAME は、この証明書発行の構成を識別する一意の名前です。
  • CA_POOL は、この証明書発行の構成に割り当てる CA プールの完全なリソースパスと名前です。
  • CERTIFICATE_LIFETIME(省略可)は、証明書の有効期間(日数)です。有効な値は 21 ~ 30 日です。デフォルトは 30 日です。
  • ROTATION_WINDOW_PERCENTAGE(省略可)は、更新プロセスを開始するときの証明書の存続期間の割合です。デフォルトは 66% です。有効な値の範囲については、存続期間とローテーション時間枠の割合をご覧ください。
  • KEY_ALGORITHM(省略可)は、秘密鍵を生成する暗号化アルゴリズムです。有効な値は ecdsa-p256 または rsa-2048 です。デフォルトは rsa-2048 です。

API

次のように、certificateIssuanceConfigs.create メソッドに対して POST リクエストを行い、証明書発行の構成を作成します。

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

以下のように置き換えます。

  • PROJECT_ID は、ターゲットの Google Cloud プロジェクトの ID です。
  • ISSUANCE_CONFIG_NAME は、この証明書発行の構成を識別する一意の名前です。
  • DESCRIPTION(省略可)は、この証明書発行の構成リソースのわかりやすい説明です。
  • CA_POOL は、この証明書発行の構成に割り当てる CA プールの完全なリソースパスと名前です。
  • CERTIFICATE_LIFETIME(省略可)は、証明書の有効期間(日数)です。有効な値は、標準の期間形式で 21 ~ 30 日です。デフォルトは 30 日です(30D)。
  • ROTATION_WINDOW_PERCENTAGE(省略可)は、証明書の存続期間で更新プロセスが開始される割合です。デフォルトは 66% です。有効な値の範囲については、存続期間とローテーション時間枠の割合をご覧ください。
  • KEY_ALGORITHM は、秘密鍵の生成に使用される暗号化アルゴリズムです。有効な値は ecdsa-p256 または rsa-2048 です。デフォルトは rsa-2048 です。

存続期間とローテーション時間枠の割合

証明書発行の構成を作成する際は、[存続期間] フィールドで証明書の存続期間、[ローテーション時間枠の割合] フィールドで証明書の更新プロセスを期限切れになる前に開始する時間も定義します。

証明書が有効期限の少なくとも 7 日前と発行から 7 日後に更新されるようにするには、証明書の存続期間を基準としてローテーション時間枠の割合を設定します。ローテーション時間枠の割合の許容範囲を計算するには、次の数式を使用します。

  • 最小値: ローテーション時間枠の割合 ≥(7 / 存続時間)* 100
  • 最大値: ローテーション時間枠の割合 ≤((存続期間 - 7)/ 存続期間)* 100

上記の数式では、7 は 7 日間です。

最小値が小数の場合は、最も近い整数に切り上げます。最大値が小数の場合は、最も近い整数に切り捨てます。

証明書発行の構成を一覧表示する

証明書発行の構成を一覧表示するには、このセクションの手順を行います。

このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。

  • Certificate Manager 閲覧者
  • Certificate Manager 編集者
  • Certificate Manager オーナー

詳細については、ロールと権限をご覧ください。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行の構成] タブをクリックします。

このタブには、選択したプロジェクトで Certificate Manager によって管理されているすべての証明書発行の構成リソースが一覧表示されます。

gcloud

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

以下のように置き換えます。

  • FILTER は、返される結果を特定の値に制限する式です。たとえば、ラベルと作成時間で結果をフィルタするには、次のように指定します。--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。

  • PAGE_SIZE はページごとに返す結果の数です。

  • LIMIT は返される結果の最大数です。

  • SORT_BY は、返される結果の並べ替えの基準とする name フィールドのカンマ区切りリストです。デフォルトの並べ替え順は昇順です。降順の並べ替え順の場合、フィールドの先頭にチルダ(~)を付けます。

API

次のように、certificateIssuanceConfigs.list メソッドに LIST リクエストを送信して、構成済みの証明書発行の構成リソースを一覧表示します。

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

以下のように置き換えます。

  • PROJECT_ID は、ターゲットの Google Cloud プロジェクトの ID です。
  • FILTER は、返される結果を特定の値に制限する式です。
  • PAGE_SIZE はページごとに返す結果の数です。
  • SORT_BY は、返される結果の並べ替えの基準とするフィールド名のカンマ区切りリストです。デフォルトの並べ替え順は昇順です。降順の並べ替え順の場合、フィールドの先頭に ~ を付けます。

証明書発行の構成の状態を表示する

証明書発行の構成の状態を表示するには、このセクションの手順を完了します。

このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。

  • Certificate Manager 閲覧者
  • Certificate Manager 編集者
  • Certificate Manager オーナー

詳細については、ロールと権限をご覧ください。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行の構成] タブをクリックします。

  3. 表示する証明書発行の構成の名前をクリックします。

Google Cloud コンソールに証明書発行の構成の詳細が表示されます。

gcloud

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

以下のように置き換えます。

  • ISSUANCE_CONFIG_NAME は、ターゲットの証明書発行の構成の名前です。

API

次のように、certificateIssuanceConfigs.get メソッドに対して GET リクエストを行い、証明書発行の構成の状態を表示します。

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

以下のように置き換えます。

  • PROJECT_ID は、ターゲットの Google Cloud プロジェクトの ID です。
  • ISSUANCE_CONFIG__NAME は、ターゲットの証明書発行構成の名前です。

証明書発行の構成を更新する

証明書発行構成のラベルと説明を追加または変更するには、Google Cloud CLI または API を使用します。

このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する次のいずれかのロールが必要です。

  • Certificate Manager 編集者
  • Certificate Manager オーナー

ロールと権限について詳細を確認します。

gcloud

gcloud certificate-manager issuance-configs update コマンドを使用して、証明書発行構成を更新します。

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

以下のように置き換えます。

  • ISSUANCE_CONFIG_NAME は、更新するターゲット証明書発行構成の名前です。
  • 省略可: LABELS は、証明書発行の構成に指定する 1 つ以上のラベルです。ラベルは、KEY=VALUE ペアとしてカンマ区切りのリストで指定する必要があります。
  • 省略可: DESCRIPTION は証明書発行の構成を表します。

API

証明書発行の構成を更新するには、certificateIssuanceConfigs.patch メソッドを使用します。

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

以下のように置き換えます。

  • PROJECT_ID は、ターゲットの Google Cloud プロジェクトの ID です。
  • ISSUANCE_CONFIG_NAME は、更新するターゲット証明書発行構成の名前です。
  • 省略可: 証明書発行構成ごとに 1 つ以上のラベルを指定できます。
    • LABEL_KEY はラベルキーです。
    • LABEL_VALUE_ はラベルの値です。
  • 省略可: DESCRIPTION は証明書発行の構成を表します。

証明書発行構成を削除する

証明書発行の構成を削除するには、このセクションの手順を行います。証明書発行の構成を削除する前に、まずその構成を参照する Google マネージド証明書を削除する必要があります。

このタスクを完了するには、ターゲットの Google Cloud プロジェクトに対する Certificate Manager 所有者のロールが必要です。

詳細については、ロールと権限をご覧ください。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行の構成] タブで、削除する発行の構成のチェックボックスをオンにします。

  3. [削除] をクリックします。

  4. 表示されたダイアログで、[削除] をクリックして確定します。

gcloud

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

以下のように置き換えます。

  • ISSUANCE_CONFIG_NAME は、ターゲットの証明書発行の構成の名前です。

API

次のように、certificateIssuanceConfigs.delete メソッドに対して DELETE リクエストを行い、証明書発行の構成を削除します。

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

以下のように置き換えます。

  • PROJECT_ID は、ターゲットの Google Cloud プロジェクトの ID です。
  • ISSUANCE_CONFIG_NAME は、ターゲットの証明書発行の構成の名前です。

次のステップ