Esta seção descreve como criar e gerenciar entradas do mapa de certificado. Uma entrada de mapa de certificado associa um certificado a um nome de host de destino e a um mapa de certificado de destino.
Para mais informações sobre as entradas do mapa de certificados, consulte Como o Gerenciador de certificados funciona
Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
referência da CLI do Certificate Manager.
Criar uma entrada de mapa de certificados
Para criar uma entrada de mapa de certificados e associar um ou mais certificados a ela, siga as etapas desta seção. É necessário especificar pelo menos um certificado em uma entrada do mapa de certificados. Se você quiser especificar mais de um certificado para um determinado nome de host, só poderá fazer isso se cada certificado usar um conjunto de criptografia diferente, por exemplo, ECDSA e RSA.
Para associar vários certificados a uma entrada do mapa de certificados, forneça um lista delimitada por vírgulas de nomes de certificados a serem associados à entrada. É possível associar até quatro certificados a uma única entrada do mapa de certificados. Para cada subdomínio, você precisa criar uma entrada de mapa de certificado separada.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --hostname="HOSTNAME"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve a entrada desse mapa de certificado.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_NAMES
é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.HOSTNAME
é o nome do host que você quer associar. a esta entrada do mapa de certificado.
Terraform
Para criar uma entrada de mapa de certificado, use um google_certificate_manager_certificate_map_entry
recurso.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie a entrada do mapa de certificado fazendo uma solicitação POST
ao certificateMaps.certificateMapEntries.create
.
da seguinte forma:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME" { hostname: "HOSTNAME" certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve isso entrada do mapa de certificado.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.HOSTNAME
é o nome do host que você quer associar. a esta entrada do mapa de certificado.CERTIFICATE_NAME
é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.
Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, consulte Lógica de seleção de certificados.
Criar uma entrada de mapa de certificados principal
É possível especificar um certificado principal que o balanceador de carga vai oferecer se o cliente não fornecer um nome de host ou fornecer um que o balanceador de carga não conseguir associar a nenhuma entrada de mapa de certificado configurada.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAMES" \ --set-primary
Substitua:
CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve a entrada desse mapa de certificado.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_NAMES
é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.
API
Crie a entrada do mapa de certificado fazendo uma solicitação POST
ao certificateMaps.certificateMapEntries.create
.
da seguinte forma:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME" { matcher: "PRIMARY", certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve isso entrada do mapa de certificado.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_NAME
é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.
Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, Consulte Lógica de seleção de certificados.
Atualizar uma entrada do mapa de certificado
Para atualizar uma entrada do mapa de certificados, siga as etapas desta seção. É possível atualizar uma entrada do mapa de certificados da seguinte maneira:
- Atribuir ou remover a atribuição de certificados
- Modificar a descrição
- Modificar os rótulos
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \ --description="DESCRIPTION" --update-labels="LABELS"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve a entrada desse mapa de certificado.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_NAME
é o nome do certificado que você quer associar a essa entrada do mapa de certificados.DESCRIPTION
é uma descrição significativa para esta entrada do mapa de certificado.LABELS
é uma lista de rótulos aplicados a essa entrada do mapa de certificado.
API
Atualize a entrada do mapa de certificados fazendo uma solicitação PATCH
para o método certificateMaps.certificateMapEntries.patch
da seguinte maneira:
PATCH /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates { "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE" } }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.CERTIFICATE_MAP_ENTRY_NAME
é um nome exclusivo que descreve a entrada desse mapa de certificado.CERTIFICATE_NAME
é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.DESCRIPTION
é uma descrição significativa para essa entrada do mapa de certificados.LABEL_KEY
é uma chave de rótulo aplicada a esta entrada do mapa de certificado.LABEL_VALUE
é um valor de rótulo aplicado a esta entrada do mapa de certificado.
Listar entradas do mapa de certificado
Para listar as entradas de mapa de certificados configuradas em um mapa de certificados de destino, siga as etapas desta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.FILTER
é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Estado de veiculação:
--filter='state=ACTIVE'
- Correspondente (definido como principal):
--filter='-matcher=PRIMARY'
- Nome do host:
--filter='hostname=example.com'
- Certificados atribuídos:
--filter='certificates:my-cert'
- Marcadores e data/hora de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtros que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Estado de veiculação:
PAGE_SIZE
é o número de resultados a serem retornados por página.LIMIT
é o número máximo de resultados a serem retornados.SORT_BY
é uma lista de camposname
separada por vírgulas em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com~
.
API
Liste as entradas de mapa de certificados configuradas em um determinado mapa de certificados fazendo uma solicitação LIST
para o método certificateMaps.certificateMapEntries.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.FILTER
é uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
é o número de resultados a serem retornados por página.SORT_BY
é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo desejado com~
.
Conferir o estado de uma entrada do mapa de certificados
Para conferir o estado de uma entrada de mapa de certificado, siga as etapas neste nesta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME
é o nome da entrada do mapa de certificado de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
API
Confira o estado da entrada do mapa de certificado fazendo uma solicitação GET
para o certificateMaps.certificateMapEntries.get
da seguinte forma:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_MAP_ENTRY_NAME
é o nome da entrada do mapa de certificado de destino.
Excluir uma entrada do mapa de certificado
Para excluir uma entrada desse tipo de mapa, conclua o nesta seção. Esta ação remove os certificados associados ao a entrada do mapa de certificado do proxy de destino.
A exclusão de uma entrada do mapa de certificados não exclui os certificados associados. Para remover esses certificados do Google Cloud, faça o seguinte: manualmente.
Para concluir esta tarefa, você precisa ter a função de proprietário do administrador de certificados no projeto do Google Cloud de destino.
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
Substitua:
CERTIFICATE_MAP_ENTRY_NAME
é o nome da entrada do mapa de certificado de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
API
Exclua uma entrada do mapa de certificados fazendo uma solicitação DELETE
para o método certificateMaps.certificateMapEntries.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.CERTIFICATE_MAP_ENTRY_NAME
é o nome da entrada do mapa de certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados