Zertifikatzuordnungseinträge verwalten

In diesem Abschnitt wird beschrieben, wie Sie Zertifikatzuordnungseinträge erstellen und verwalten. Ein Eintrag in der Zertifikatszuordnung verknüpft ein Zertifikat mit einem Ziel-Hostnamen und einer Ziel-Zertifikatszuordnung.

Weitere Informationen zu Zertifikatszuordnungseinträgen finden Sie unter Funktionsweise des Zertifikatmanagers

Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatsmanager finden Sie unter Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile

Eintrag in der Zertifikatzuordnung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um einen Zertifikatszuordnungseintrag zu erstellen und ein oder mehrere Zertifikate damit zu verknüpfen. Sie müssen in einem Zertifikatzuordnungseintrag mindestens ein Zertifikat angeben. Wenn Sie mehr als eine Option angeben möchten -Zertifikat für einen bestimmten Hostnamen erhalten, können Sie dies nur tun, wenn jedes Zertifikat ein z. B. ECDSA und RSA verwenden.

Wenn Sie mehrere Zertifikate mit einem Eintrag der Zertifikatszuordnung verknüpfen möchten, geben Sie eine durch Kommas getrennte Liste der Zertifikatsnamen an, die mit dem Eintrag verknüpft werden sollen. Sie können einem einzelnen Eintrag der Zertifikatszuordnung maximal vier Zertifikate zuordnen. Für jede Subdomain müssen Sie einen separaten Zertifikatszuordnungseintrag erstellen.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Eintrag der Zertifikatszuordnung beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAMES ist eine durch Kommas getrennte Liste der Namen der Zertifikate. den Sie mit diesem Zertifikatszuordnungseintrag verknüpfen möchten.
  • HOSTNAME ist der Hostname, den Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.

Terraform

Zum Erstellen eines Zertifikatszuordnungseintrags können Sie eine google_certificate_manager_certificate_map_entry-Ressource verwenden.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie den Zertifikatzuordnungseintrag. Stellen Sie dazu eine POST-Anfrage an certificateMaps.certificateMapEntries.create. wie folgt:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der dieses Zertifikatzuordnungseintrag.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist.
  • HOSTNAME ist der Hostname, den Sie verknüpfen möchten durch diesen Zertifikatzuordnungseintrag.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.

Informationen dazu, wie der Load-Balancer Zertifikate während eines Handshakes auswählt, Siehe Logik für Zertifikatsauswahl.

Primären Zertifikatszuordnungseintrag erstellen

Sie können ein primäres Zertifikat angeben, das vom Load Balancer bereitgestellt wird, wenn der Client keinen Hostnamen angibt oder einen Hostnamen angibt, der dem Load Balancer nicht mit einem konfigurierten Zertifikatzuordnungseintrag zugeordnet werden kann.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Eintrag der Zertifikatszuordnung beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAMES ist eine durch Kommas getrennte Liste der Namen der Zertifikate den Sie mit diesem Zertifikatszuordnungseintrag verknüpfen möchten.

API

Erstellen Sie den Zertifikatzuordnungseintrag. Stellen Sie dazu eine POST-Anfrage an certificateMaps.certificateMapEntries.create. wie folgt:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der dieses Zertifikatzuordnungseintrag.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie verknüpfen möchten. durch diesen Zertifikatzuordnungseintrag.

Informationen dazu, wie der Load Balancer Zertifikate während eines Handshakes auswählt, finden Sie unter Logik für die Zertifikatsauswahl.

Eintrag in Zertifikatszuordnung aktualisieren

Führen Sie die Schritte in diesem Abschnitt aus, um einen Zertifikatszuordnungseintrag zu aktualisieren. Sie können So aktualisieren Sie einen Zertifikatszuordnungseintrag:

  • Zertifikate zuweisen oder Zuweisung aufheben
  • Beschreibung ändern
  • Labels ändern

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der diesen Eintrag der Zertifikatszuordnung beschreibt.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, an die dieser Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • DESCRIPTION ist eine aussagekräftige Beschreibung für diesen Eintrag der Zertifikatszuordnung.
  • LABELS ist eine Liste von Labels, die auf diesen Eintrag der Zertifikatszuordnung angewendet werden.

API

Aktualisieren Sie den Eintrag der Zertifikatszuordnung. Stellen Sie dazu eine PATCH-Anfrage an die certificateMaps.certificateMapEntries.patch-Methode:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Ziel-Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die dem an diesen Zertifikatzuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist ein eindeutiger Name, der dieses Zertifikatzuordnungseintrag.
  • CERTIFICATE_NAME ist der Name des Zertifikats, das Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • DESCRIPTION ist eine aussagekräftige Beschreibung für diesen Eintrag der Zertifikatszuordnung.
  • LABEL_KEY ist ein Labelschlüssel, der auf diesen Eintrag der Zertifikatszuordnung angewendet wird.
  • LABEL_VALUE ist ein Labelwert, der auf diesen Zertifikatszuordnungseintrag angewendet wird.

Zertifikatzuordnungseinträge auflisten

Zum Auflisten der Zertifikatzuordnungseinträge, die derzeit in einem Ziel konfiguriert sind Zertifikatzuordnung erhalten haben, führen Sie die Schritte in diesem Abschnitt aus.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatszuordnung.

  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien:

    • Auslieferungsstatus: --filter='state=ACTIVE'
    • Matcher (als primär festgelegt): --filter='-matcher=PRIMARY'
    • Hostname: --filter='hostname=example.com'
    • Zugewiesene Zertifikate: --filter='certificates:my-cert'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, durch die werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem gewünschten Feld ~ voran.

API

Erstellen Sie eine LIST-Anfrage an certificateMaps.certificateMapEntries.list, um Zertifikatszuordnungseinträge aufzulisten, die in einer bestimmten Zertifikatszuordnung konfiguriert sind wie folgt:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Ziel-Zertifikatszuordnung.
  • FILTER ist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem gewünschten Feld ~ voran.

Status eines Zertifikatszuordnungseintrags ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status eines Zertifikatszuordnungseintrags aufzurufen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist der Name der Zielzertifikatszuordnung. zu erstellen.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die dem an diesen Zertifikatzuordnungseintrag angehängt wird.

API

Rufen Sie den Status des Zertifikatszuordnungseintrags auf, indem Sie eine GET-Anfrage an certificateMaps.certificateMapEntries.get senden. wie folgt:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Ziel-Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die dem an diesen Zertifikatzuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Zieleintrags für die Zertifikatszuordnung.

Eintrag in der Zertifikatzuordnung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um einen Eintrag der Zertifikatszuordnung aus einer Zertifikatszuordnung zu löschen. Durch diese Aktion werden die Zertifikate getrennt, die mit Zertifikatzuordnungseintrag vom Zielproxy.

Wenn Sie einen Eintrag der Zertifikatszuordnung löschen, werden die zugehörigen Zertifikate nicht gelöscht. Wenn Sie diese Zertifikate aus Google Cloud entfernen möchten, müssen Sie sie manuell löschen.

Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager) auf dem Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME ist der Name der Zielzertifikatszuordnung. zu erstellen.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die dem an diesen Zertifikatzuordnungseintrag angehängt wird.

API

So löschen Sie einen Eintrag der Zertifikatszuordnung: Senden Sie eine DELETE-Anfrage an die certificateMaps.certificateMapEntries.delete-Methode:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Ziel-Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die dem an diesen Zertifikatzuordnungseintrag angehängt wird.
  • CERTIFICATE_MAP_ENTRY_NAME ist der Name des Zieleintrags der Zertifikatszuordnung.

Nächste Schritte