Zertifikatzuordnungseinträge verwalten

In diesem Abschnitt wird beschrieben, wie Einträge in Zertifikatszuordnungen erstellt und verwaltet werden. Ein Zertifikatszuordnungseintrag verknüpft ein Zertifikat mit einem Zielhostnamen und einer Zielzertifikatzuordnung.

Weitere Informationen zu Einträgen in Zertifikatszuordnungen finden Sie unter Funktionsweise des Zertifikatmanagers.

Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.

Eintrag für Zertifikatszuordnung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag für die Zertifikatszuordnung zu erstellen und ein oder mehrere Zertifikate damit zu verknüpfen. Sie müssen in einem Zertifikatszuordnungseintrag mindestens ein Zertifikat angeben. Wenn Sie mehr als ein Zertifikat für einen bestimmten Hostnamen angeben möchten, ist dies nur möglich, wenn jedes Zertifikat eine andere Cypher Suite verwendet, z. B. ECDSA und RSA.

Wenn Sie mehrere Zertifikate mit einem Zertifikatzuordnungseintrag verknüpfen möchten, geben Sie eine durch Kommas getrennte Liste von Zertifikatsnamen an, die mit dem Eintrag verknüpft werden sollen. Sie können einem einzelnen Zertifikatzuordnungseintrag maximal vier Zertifikate zuordnen. Für jede Subdomain müssen Sie einen separaten Zertifikatzuordnungseintrag erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_NAMES ist eine durch Kommas getrennte Liste der Namen der Zertifikate, die mit diesem Eintrag der Zertifikatszuordnung verknüpft werden sollen.
  • HOSTNAME ist der Hostname, den Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.

Terraform

Zum Erstellen eines Zertifikatszuordnungseintrags können Sie eine google_certificate_manager_certificate_map_entry-Ressource verwenden.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie den Zertifikatszuordnungseintrag, indem Sie so eine POST-Anfrage an die Methode certificateMaps.certificateMapEntries.create stellen:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • HOSTNAME ist der Hostname, den Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.

Informationen dazu, wie der Load-Balancer während eines Handshakes Zertifikate auswählt, finden Sie unter Logik für die Zertifikatsauswahl.

Eintrag für primäre Zertifikatszuordnung erstellen

Sie können ein primäres Zertifikat angeben, das vom Load-Balancer bereitgestellt wird, wenn der Client keinen Hostnamen oder einen Hostnamen bereitstellt, der vom Load-Balancer mit keinem konfigurierten Zertifikatzuordnungseintrag abgeglichen werden kann.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_NAMES ist eine durch Kommas getrennte Liste der Namen der Zertifikate, die mit diesem Eintrag der Zertifikatszuordnung verknüpft werden sollen.

API

Erstellen Sie den Zertifikatszuordnungseintrag, indem Sie so eine POST-Anfrage an die Methode certificateMaps.certificateMapEntries.create stellen:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.

Informationen dazu, wie der Load-Balancer während eines Handshakes Zertifikate auswählt, finden Sie unter Logik für die Zertifikatsauswahl.

Eintrag einer Zertifikatszuordnung aktualisieren

Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag für die Zertifikatszuordnung zu aktualisieren. So aktualisieren Sie einen Eintrag für die Zertifikatszuordnung:

  • Zertifikate zuweisen oder Zuweisung aufheben
  • Beschreibung ändern
  • Labels ändern

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
  • DESCRIPTION ist eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.
  • LABELS ist eine Liste der Labels, die auf diesen Zertifikatszuordnungseintrag angewendet werden.

API

Aktualisieren Sie den Eintrag der Zertifikatszuordnung, indem Sie so eine PATCH-Anfrage an die Methode certificateMaps.certificateMapEntries.patch stellen:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
  • DESCRIPTION ist eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.
  • LABEL_KEY ist ein Labelschlüssel, der auf diesen Zertifikatszuordnungseintrag angewendet wird.
  • LABEL_VALUE ist ein Labelwert, der auf diesen Zertifikatszuordnungseintrag angewendet wird.

Zertifikatszuordnungseinträge auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die Einträge der Zertifikatszuordnung aufzulisten, die derzeit in einer Zielzertifikatzuordnung konfiguriert sind.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.

  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Auslieferungsstatus: --filter='state=ACTIVE'
    • Matcher (als primär festgelegt): --filter='-matcher=PRIMARY'
    • Hostname: --filter='hostname=example.com'
    • Zugewiesene Zertifikate: --filter='certificates:my-cert'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele zum Filtern von Daten, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix ~ voranstellen.

API

Sie können Einträge der Zertifikatszuordnung auflisten, die in einer bestimmten Zertifikatszuordnung konfiguriert sind. Dazu stellen Sie wie folgt eine LIST-Anfrage an die Methode certificateMaps.certificateMapEntries.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.
  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix ~ voranstellen.

Status eines Zertifikatszuordnungseintrags ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status eines Zertifikatszuordnungseintrags anzusehen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Eintrags für die Zielzertifikatzuordnung.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.

API

Wenn Sie sich den Status des Zertifikatszuordnungseintrags ansehen möchten, stellen Sie wie folgt eine GET-Anfrage an die Methode certificateMaps.certificateMapEntries.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Eintrags für die Zielzertifikatzuordnung.

Zertifikatszuordnungseintrag löschen

Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag in der Zertifikatszuordnung aus einer Zertifikatszuordnung zu löschen. Dadurch werden die mit dem Zertifikatzuordnungseintrag verknüpften Zertifikate vom Zielproxy getrennt.

Durch das Löschen eines Zertifikatszuordnungseintrags werden die zugehörigen Zertifikate nicht gelöscht. Wenn Sie diese Zertifikate aus Google Cloud entfernen möchten, müssen Sie sie manuell löschen.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Eintrags für die Zielzertifikatzuordnung.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.

API

Zum Löschen eines Zertifikatszuordnungseintrags stellen Sie so eine DELETE-Anfrage an die Methode certificateMaps.certificateMapEntries.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Eintrags für die Zielzertifikatzuordnung.

Nächste Schritte