Gerenciar entradas do mapa de certificados

Esta seção descreve como criar e gerenciar entradas do mapa de certificado. Uma entrada de mapa de certificado associa um certificado a um nome de host de destino e a um mapa de certificado de destino.

Para mais informações sobre as entradas do mapa de certificados, consulte Como o Gerenciador de certificados funciona

Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a referência da CLI do Certificate Manager.

Criar uma entrada de mapa de certificados

Para criar uma entrada de mapa de certificados e associar um ou mais certificados a ela, siga as etapas desta seção. É necessário especificar pelo menos um certificado em uma entrada do mapa de certificados. Se você quiser especificar mais de um certificado para um determinado nome de host, só poderá fazer isso se cada certificado usar um conjunto de criptografia diferente, por exemplo, ECDSA e RSA.

Para associar vários certificados a uma entrada do mapa de certificados, forneça um lista delimitada por vírgulas de nomes de certificados a serem associados à entrada. É possível associar até quatro certificados a uma única entrada do mapa de certificados. Para cada subdomínio, você precisa criar uma entrada de mapa de certificado separada.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve a entrada desse mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_NAMES é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.
  • HOSTNAME é o nome do host que você quer associar. a esta entrada do mapa de certificado.

Terraform

Para criar uma entrada de mapa de certificado, use um google_certificate_manager_certificate_map_entry recurso.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie a entrada do mapa de certificado fazendo uma solicitação POST ao certificateMaps.certificateMapEntries.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • HOSTNAME é o nome do host que você quer associar. a esta entrada do mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.

Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, consulte Lógica de seleção de certificados.

Criar uma entrada de mapa de certificados principal

É possível especificar um certificado principal que o balanceador de carga vai oferecer se o cliente não fornecer um nome de host ou fornecer um que o balanceador de carga não conseguir associar a nenhuma entrada de mapa de certificado configurada.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve a entrada desse mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_NAMES é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.

API

Crie a entrada do mapa de certificado fazendo uma solicitação POST ao certificateMaps.certificateMapEntries.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.

Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, Consulte Lógica de seleção de certificados.

Atualizar uma entrada do mapa de certificado

Para atualizar uma entrada do mapa de certificados, siga as etapas desta seção. É possível atualizar uma entrada do mapa de certificados da seguinte maneira:

  • Atribuir ou remover a atribuição de certificados
  • Modificar a descrição
  • Modificar os rótulos

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve a entrada desse mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar a essa entrada do mapa de certificados.
  • DESCRIPTION é uma descrição significativa para esta entrada do mapa de certificado.
  • LABELS é uma lista de rótulos aplicados a essa entrada do mapa de certificado.

API

Atualize a entrada do mapa de certificados fazendo uma solicitação PATCH para o método certificateMaps.certificateMapEntries.patch da seguinte maneira:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve a entrada desse mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.
  • DESCRIPTION é uma descrição significativa para essa entrada do mapa de certificados.
  • LABEL_KEY é uma chave de rótulo aplicada a esta entrada do mapa de certificado.
  • LABEL_VALUE é um valor de rótulo aplicado a esta entrada do mapa de certificado.

Listar entradas do mapa de certificado

Para listar as entradas de mapa de certificados configuradas em um mapa de certificados de destino, siga as etapas desta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Estado de veiculação: --filter='state=ACTIVE'
    • Correspondente (definido como principal): --filter='-matcher=PRIMARY'
    • Nome do host: --filter='hostname=example.com'
    • Certificados atribuídos: --filter='certificates:my-cert'
    • Marcadores e data/hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtros que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados a serem retornados por página.

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista de campos name separada por vírgulas em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com ~.

API

Liste as entradas de mapa de certificados configuradas em um determinado mapa de certificados fazendo uma solicitação LIST para o método certificateMaps.certificateMapEntries.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE é o número de resultados a serem retornados por página.
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo desejado com ~.

Conferir o estado de uma entrada do mapa de certificados

Para conferir o estado de uma entrada de mapa de certificado, siga as etapas neste nesta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.

API

Confira o estado da entrada do mapa de certificado fazendo uma solicitação GET para o certificateMaps.certificateMapEntries.get da seguinte forma:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.

Excluir uma entrada do mapa de certificado

Para excluir uma entrada desse tipo de mapa, conclua o nesta seção. Esta ação remove os certificados associados ao a entrada do mapa de certificado do proxy de destino.

A exclusão de uma entrada do mapa de certificados não exclui os certificados associados. Para remover esses certificados do Google Cloud, faça o seguinte: manualmente.

Para concluir esta tarefa, você precisa ter a função de proprietário do administrador de certificados no projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

gcloud

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.

API

Exclua uma entrada do mapa de certificados fazendo uma solicitação DELETE para o método certificateMaps.certificateMapEntries.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.

A seguir