In diesem Abschnitt wird beschrieben, wie Einträge in Zertifikatszuordnungen erstellt und verwaltet werden. Ein Zertifikatszuordnungseintrag verknüpft ein Zertifikat mit einem Zielhostnamen und einer Zielzertifikatzuordnung.
Weitere Informationen zu Einträgen in Zertifikatszuordnungen finden Sie unter Funktionsweise des Zertifikatmanagers.
Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud
-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.
Eintrag für Zertifikatszuordnung erstellen
Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag für die Zertifikatszuordnung zu erstellen und ein oder mehrere Zertifikate damit zu verknüpfen. Sie müssen in einem Zertifikatszuordnungseintrag mindestens ein Zertifikat angeben. Wenn Sie mehr als ein Zertifikat für einen bestimmten Hostnamen angeben möchten, ist dies nur möglich, wenn jedes Zertifikat eine andere Cypher Suite verwendet, z. B. ECDSA und RSA.
Wenn Sie mehrere Zertifikate mit einem Zertifikatzuordnungseintrag verknüpfen möchten, geben Sie eine durch Kommas getrennte Liste von Zertifikatsnamen an, die mit dem Eintrag verknüpft werden sollen. Sie können einem einzelnen Zertifikatzuordnungseintrag maximal vier Zertifikate zuordnen. Für jede Subdomain müssen Sie einen separaten Zertifikatzuordnungseintrag erstellen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --hostname="HOSTNAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_NAMES
ist eine durch Kommas getrennte Liste der Namen der Zertifikate, die mit diesem Eintrag der Zertifikatszuordnung verknüpft werden sollen.HOSTNAME
ist der Hostname, den Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
Terraform
Zum Erstellen eines Zertifikatszuordnungseintrags können Sie eine google_certificate_manager_certificate_map_entry
-Ressource verwenden.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
API
Erstellen Sie den Zertifikatszuordnungseintrag, indem Sie so eine POST
-Anfrage an die Methode certificateMaps.certificateMapEntries.create
stellen:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME" { hostname: "HOSTNAME" certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.HOSTNAME
ist der Hostname, den Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.CERTIFICATE_NAME
ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
Informationen dazu, wie der Load-Balancer während eines Handshakes Zertifikate auswählt, finden Sie unter Logik für die Zertifikatsauswahl.
Eintrag für primäre Zertifikatszuordnung erstellen
Sie können ein primäres Zertifikat angeben, das vom Load-Balancer bereitgestellt wird, wenn der Client keinen Hostnamen oder einen Hostnamen bereitstellt, der vom Load-Balancer mit keinem konfigurierten Zertifikatzuordnungseintrag abgeglichen werden kann.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --set-primary
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_NAMES
ist eine durch Kommas getrennte Liste der Namen der Zertifikate, die mit diesem Eintrag der Zertifikatszuordnung verknüpft werden sollen.
API
Erstellen Sie den Zertifikatszuordnungseintrag, indem Sie so eine POST
-Anfrage an die Methode certificateMaps.certificateMapEntries.create
stellen:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME" { matcher: "PRIMARY", certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_NAME
ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.
Informationen dazu, wie der Load-Balancer während eines Handshakes Zertifikate auswählt, finden Sie unter Logik für die Zertifikatsauswahl.
Eintrag einer Zertifikatszuordnung aktualisieren
Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag für die Zertifikatszuordnung zu aktualisieren. So aktualisieren Sie einen Eintrag für die Zertifikatszuordnung:
- Zertifikate zuweisen oder Zuweisung aufheben
- Beschreibung ändern
- Labels ändern
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \ --description="DESCRIPTION" --update-labels="LABELS"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_NAME
ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.DESCRIPTION
ist eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.LABELS
ist eine Liste der Labels, die auf diesen Zertifikatszuordnungseintrag angewendet werden.
API
Aktualisieren Sie den Eintrag der Zertifikatszuordnung, indem Sie so eine PATCH
-Anfrage an die Methode certificateMaps.certificateMapEntries.patch
stellen:
PATCH /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates { "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE" } }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_MAP_ENTRY_NAME
ist ein eindeutiger Name, der diesen Zertifikatszuordnungseintrag beschreibt.CERTIFICATE_NAME
ist der Name des Zertifikats, das Sie mit diesem Zertifikatzuordnungseintrag verknüpfen möchten.DESCRIPTION
ist eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.LABEL_KEY
ist ein Labelschlüssel, der auf diesen Zertifikatszuordnungseintrag angewendet wird.LABEL_VALUE
ist ein Labelwert, der auf diesen Zertifikatszuordnungseintrag angewendet wird.
Zertifikatszuordnungseinträge auflisten
Führen Sie die Schritte in diesem Abschnitt aus, um die Einträge der Zertifikatszuordnung aufzulisten, die derzeit in einer Zielzertifikatzuordnung konfiguriert sind.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:- Auslieferungsstatus:
--filter='state=ACTIVE'
- Matcher (als primär festgelegt):
--filter='-matcher=PRIMARY'
- Hostname:
--filter='hostname=example.com'
- Zugewiesene Zertifikate:
--filter='certificates:my-cert'
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele zum Filtern von Daten, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.
- Auslieferungsstatus:
PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT
ist die maximale Anzahl von zurückzugebenden Ergebnissen.SORT_BY
ist eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix~
voranstellen.
API
Sie können Einträge der Zertifikatszuordnung auflisten, die in einer bestimmten Zertifikatszuordnung konfiguriert sind. Dazu stellen Sie wie folgt eine LIST
-Anfrage an die Methode certificateMaps.certificateMapEntries.list
:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY
ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix~
voranstellen.
Status eines Zertifikatszuordnungseintrags ansehen
Führen Sie die Schritte in diesem Abschnitt aus, um den Status eines Zertifikatszuordnungseintrags anzusehen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
ist der Name des Eintrags für die Zielzertifikatzuordnung.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
API
Wenn Sie sich den Status des Zertifikatszuordnungseintrags ansehen möchten, stellen Sie wie folgt eine GET
-Anfrage an die Methode certificateMaps.certificateMapEntries.get
:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_MAP_ENTRY_NAME
ist der Name des Eintrags für die Zielzertifikatzuordnung.
Zertifikatszuordnungseintrag löschen
Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag in der Zertifikatszuordnung aus einer Zertifikatszuordnung zu löschen. Dadurch werden die mit dem Zertifikatzuordnungseintrag verknüpften Zertifikate vom Zielproxy getrennt.
Durch das Löschen eines Zertifikatszuordnungseintrags werden die zugehörigen Zertifikate nicht gelöscht. Wenn Sie diese Zertifikate aus Google Cloud entfernen möchten, müssen Sie sie manuell löschen.
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_ENTRY_NAME
ist der Name des Eintrags für die Zielzertifikatzuordnung.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.
API
Zum Löschen eines Zertifikatszuordnungseintrags stellen Sie so eine DELETE
-Anfrage an die Methode certificateMaps.certificateMapEntries.delete
:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, an die dieser Zertifikatszuordnungseintrag angehängt wird.CERTIFICATE_MAP_ENTRY_NAME
ist der Name des Eintrags für die Zielzertifikatzuordnung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatsausstellung verwalten