証明書発行構成リソースを管理する

このページでは、証明書発行構成リソースを作成して管理する方法について説明します。

証明書発行構成リソースの詳細については、Certificate Manager の仕組みをご覧ください。

証明書発行構成リソースを作成する

発行構成リソースを作成する前に、CA Service と Certificate Manager の統合を構成します。

証明書発行構成リソースを作成するには、証明書の存続期間、ローテーション時間枠の割合、鍵アルゴリズム、使用する CA プールを指定します。

リージョン CA プールを使用して Google マネージド TLS 証明書を発行しても、証明書はグローバルに使用できます。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行構成] タブで、[作成] をクリックします。

  3. [名前] フィールドに、証明書発行構成リソースの一意の名前を入力します。

  4. 省略可: [説明] フィールドに、発行構成の説明を入力します。

  5. [ロケーション] で、[グローバル] または [リージョン] を選択します。 [リージョン] を選択した場合は、証明書と CA プールと同じ [リージョン] を選択します。

  6. [存続期間] フィールドに、発行する証明書の存続期間を日数で指定します。値は 21~30 日の範囲で指定してください。

  7. [ローテーション時間枠の割合] で、更新プロセスを開始するときの証明書の存続期間の割合を指定します。有効な値の範囲については、存続期間とローテーション時間枠の割合をご覧ください。

  8. [鍵アルゴリズム] リストから、秘密鍵の生成時に使用する鍵アルゴリズムを選択します。

  9. [CA プール] リストから、この証明書発行構成リソースに割り当てる CA プールの名前を選択します。

  10. [ラベル] フィールドに、証明書に関連付けるラベルを指定します。ラベルを追加するには、[ラベルを追加] をクリックして、ラベルのキーと値を指定します。

  11. [作成] をクリックします。

gcloud

証明書発行構成リソースを作成するには、certificate-manager issuance-configs create コマンドを使用します。

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

以下を置き換えます。

  • ISSUANCE_CONFIG_NAME: ターゲット CA プールを参照する証明書発行構成リソースの名前。
  • CA_POOL: この証明書発行構成リソースに割り当てる CA プールの完全なリソースパスと名前。
  • CERTIFICATE_LIFETIME: 証明書の有効期間(日数)。有効な値は、絶対期間形式で 21~30 日です。デフォルト値は 30 日(30D)です。このフラグは省略可能です。
  • ROTATION_WINDOW_PERCENTAGE: 更新までの証明書の残存期間の割合。デフォルト値は 66% です。有効な値の範囲については、[存続期間とローテーション時間枠の割合](#lifetime-rotation-percentage) をご覧ください。このフラグは省略可能です。
  • KEY_ALGORITHM: 秘密鍵の生成に使用される暗号化アルゴリズム。有効な値は ecdsa-p256 または rsa-2048 です。 デフォルト値は rsa-2048 です。このフラグは省略可能です。
  • LOCATION: ターゲット Google Cloud ロケーション。

API

次のように、certificateIssuanceConfigs.create メソッドに対して POST リクエストを行い、証明書発行構成リソースを作成します。

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

以下を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • LOCATION: ターゲット Google Cloud ロケーション。
  • ISSUANCE_CONFIG_NAME: ターゲット CA プールを参照する証明書発行構成リソースの名前。
  • DESCRIPTION: 証明書発行構成リソースのわかりやすい説明。
  • CA_POOL: この証明書発行構成リソースに割り当てる CA プールの完全なリソースパスと名前。
  • CERTIFICATE_LIFETIME: 証明書の有効期間(日数)。有効な値は、絶対期間形式で 21~30 日です。デフォルト値は 30 日(30D)です。このフラグは省略可能です。
  • ROTATION_WINDOW_PERCENTAGE: 更新までの証明書の残存期間の割合。デフォルト値は 66% です。有効な値の範囲については、[存続期間とローテーション時間枠の割合](#lifetime-rotation-percentage) をご覧ください。このフラグは省略可能です。
  • KEY_ALGORITHM: 秘密鍵の生成に使用される暗号化アルゴリズム。有効な値は ecdsa-p256 または rsa-2048 です。 デフォルト値は rsa-2048 です。このフラグは省略可能です。

存続期間とローテーション時間枠の割合

証明書発行構成リソースを作成する際は、[存続期間] フィールドで証明書の存続期間、[ローテーション時間枠の割合] フィールドで証明書の更新プロセスを期限切れになる前に開始する時間も定義します。

証明書が有効期限の少なくとも 7 日前と発行から 7 日後に更新されるようにするには、証明書の存続期間を基準としてローテーション時間枠の割合を設定します。ローテーション時間枠の割合の許容範囲を計算するには、次の数式を使用します。

  • 最小値: ローテーション時間枠の割合 ≥(7 / 存続時間)* 100
  • 最大値: ローテーション時間枠の割合 ≤((存続期間 - 7)/ 存続期間)* 100

上記の式で、7 は 7 日間です。

最小値が小数の場合は、最も近い整数に切り上げます。最大値が小数の場合は、最も近い整数に切り捨てます。

証明書発行の構成を一覧表示する

プロジェクトのすべての証明書発行構成リソースとその詳細を確認できます。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行構成] タブをクリックします。このタブには、選択したプロジェクトで Certificate Manager によって管理されている証明書発行構成リソースがすべて一覧表示されます。

gcloud

証明書発行構成リソースを一覧表示するには、certificate-manager issuance-configs list コマンドを使用します。

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

以下を置き換えます。

  • FILTER: 返される結果を特定の値に制限する式。

    たとえば、ラベルと作成時間で結果をフィルタするには、次のように指定します。 --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。

  • PAGE_SIZE: ページごとに返す結果の数

  • LIMIT: 返される結果の最大件数です。

  • SORT_BY: 返される結果の並べ替えの基準とする name フィールドのカンマ区切りリスト。 デフォルトの並べ替え順は昇順です。降順で並べ替えるには、フィールドの先頭にチルダ(~)を付けます。

  • LOCATION: ターゲット Google Cloud ロケーション。

API

次のように、certificateIssuanceConfigs.list メソッドに LIST リクエストを送信して、構成済みの証明書発行構成リソースを一覧表示します。

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

以下を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • FILTER: 返される結果を特定の値に制限する式。

    たとえば、ラベルと作成時間で結果をフィルタするには、次のように指定します。 --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。

  • PAGE_SIZE: ページごとに返す結果の数

  • SORT_BY: 返される結果の並べ替えの基準とする name フィールドのカンマ区切りリスト。 デフォルトの並べ替え順は昇順です。降順で並べ替えるには、フィールドの先頭にチルダ(~)を付けます。

証明書発行構成リソースの状態を表示する

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行構成] タブをクリックします。

  3. 表示する証明書発行構成リソースの名前をクリックします。Google Cloud コンソールに、証明書発行構成リソースの詳細が表示されます。

gcloud

証明書発行構成リソースの状態を表示するには、certificate-manager issuance-configs describe コマンドを使用します。

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

ISSUANCE_CONFIG_NAME は、ターゲット CA プールを参照する証明書発行構成リソースの名前に置き換えます。

API

次のように、certificateIssuanceConfigs.get メソッドに対して GET リクエストを行い、証明書発行構成リソースの状態を表示します。

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

以下を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • ISSUANCE_CONFIG_NAME: ターゲット CA プールを参照する証明書発行構成リソースの名前。

証明書発行構成リソースを削除する

証明書発行構成リソースを削除する前に、まずその構成リソースを参照する Google マネージド証明書を削除する必要があります。

証明書発行構成リソースで参照されている CA プールで最後に有効にした CA を無効にする場合や、CA プールを完全に削除する場合は、まず、その CA プールを参照するすべての証明書発行構成リソースを削除する必要があります。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページに移動します。

    Certificate Manager に移動

  2. [発行構成] タブで、削除する発行構成のチェックボックスをオンにします。

  3. [削除] をクリックします。

  4. 表示されたダイアログで、[削除] をクリックして確定します。

gcloud

証明書発行構成リソースを削除するには、certificate-manager issuance-configs delete コマンドを使用します。

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

以下を置き換えます。

  • ISSUANCE_CONFIG_NAME: ターゲット CA プールを参照する証明書発行構成リソースの名前。
  • LOCATION: ターゲット Google Cloud ロケーション。

API

次のように、certificateIssuanceConfigs.delete メソッドに対して DELETE リクエストを行い、証明書発行構成リソースを削除します。

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

以下を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • ISSUANCE_CONFIG_NAME: ターゲット CA プールを参照する証明書発行構成リソースの名前。

次のステップ