Zertifikatzuordnungseinträge verwalten

Ein Eintrag der Zertifikatszuordnung verknüpft ein Zertifikat mit einem Ziel-Hostnamen und einer Ziel-Zertifikatszuordnung. Auf dieser Seite wird beschrieben, wie Sie Zertifikatzuordnungseinträge erstellen und verwalten.

Weitere Informationen finden Sie unter Einträge in der Zertifikatzuordnung.

Sie können einen Eintrag für die Zertifikatszuordnung erstellen und ihm maximal vier Zertifikate zuordnen. Wir empfehlen, für jedes Zertifikat einen anderen Schlüsselalgorithmus zu verwenden, wenn Sie mehrere Zertifikate für einen Hostnamen angeben. Sie können beispielsweise ECDSA für ein Zertifikat und RSA für ein anderes verwenden. Das Zuordnen mehrerer Zertifikate zu einem einzelnen Eintrag in der Zertifikatszuordnung ist auch hilfreich, wenn Sie selbstverwaltete Zertifikate zu von Google verwalteten Zertifikaten migrieren.

Wenn Sie mehrere Zertifikate mit einem Eintrag der Zertifikatszuordnung verknüpfen möchten, geben Sie eine durch Kommas getrennte Liste von Zertifikatsnamen an. Für jede Subdomain müssen Sie einen separaten Eintrag in der Zertifikatszuordnung erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps entries create, um einen Zertifikatzuordnungseintrag zu erstellen:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAMES: eine durch Kommas getrennte Liste der Namen der Zertifikate, die Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • HOSTNAME: der Hostname, den Sie dem Zertifikatszuordnungseintrag zuordnen möchten.

Erstellen Sie den Eintrag in der Zertifikatzuordnung. Stellen Sie dazu eine POST-Anfrage an die certificateMaps.certificateMapEntries.create-Methode:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • HOSTNAME: der Hostname, den Sie dem Zertifikatszuordnungseintrag zuordnen möchten.
  • CERTIFICATE_NAME1: der Name des ersten Zertifikats, das Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • CERTIFICATE_NAME2: der Name des zweiten Zertifikats, das Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.

Zum Erstellen eines Zertifikatszuordnungseintrags können Sie eine google_certificate_manager_certificate_map_entry-Ressource verwenden.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Informationen dazu, wie der Load Balancer Zertifikate während eines Handshakes auswählt, finden Sie unter Logik für die Zertifikatsauswahl.

Primären Eintrag in der Zertifikatzuordnung erstellen

Sie können ein primäres Zertifikat für den Load Balancer angeben, wenn der Client keinen Hostnamen angibt oder der Load Balancer den Hostnamen nicht mit einem konfigurierten Zertifikatzuordnungseintrag abgleichen kann.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie zum Erstellen eines primären Zertifikatszuordnungseintrags den Befehl gcloud certificate-manager maps entries create mit dem Flag set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAMES: eine durch Kommas getrennte Liste der Namen der Zertifikate, die Sie mit diesem Eintrag der Zertifikatszuordnung verknüpfen möchten.

Erstellen Sie den Eintrag in der Zertifikatzuordnung. Stellen Sie dazu eine POST-Anfrage an die Methode certificateMaps.certificateMapEntries.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_NAME1: der Name des ersten Zertifikats, das Sie mit dem primären Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • CERTIFICATE_NAME2: der Name des zweiten Zertifikats, das Sie mit dem primären Eintrag der Zertifikatszuordnung verknüpfen möchten.

Informationen dazu, wie der Load Balancer Zertifikate während eines Handshakes auswählt, finden Sie unter Logik für die Zertifikatsauswahl.

Zertifikatszuordnungseintrag aktualisieren

Wenn Sie einen Eintrag in der Zertifikatzuordnung aktualisieren, haben Sie folgende Möglichkeiten:

  • Zertifikate zuweisen oder entziehen
  • Beschreibung ändern
  • Labels ändern

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps entries update, um einen Eintrag in der Zertifikatzuordnung zu aktualisieren:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_NAME: der Name des Zertifikats, das Sie mit dem Eintrag der Zertifikatszuordnung verknüpfen möchten.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.
  • LABELS: Eine Liste der Labels, die auf diesen Zertifikatszuordnungseintrag angewendet werden.

Aktualisieren Sie den Eintrag der Zertifikatszuordnung. Stellen Sie dazu eine PATCH-Anfrage an die Methode certificateMaps.certificateMapEntries.patch:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für diesen Zertifikatszuordnungseintrag.
  • LABEL_KEY: Ein Labelschlüssel, der auf diesen Zertifikatzuordnungseintrag angewendet wird.
  • LABEL_VALUE: Ein Labelwert, der auf diesen Eintrag in der Zertifikatzuordnung angewendet wird.

Zertifikatzuordnungseinträge auflisten

Sie können alle konfigurierten Zertifikatzuordnungseinträge des Projekts auflisten, filtern und sortieren.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)
  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Auslieferungsstatus: --filter='state=ACTIVE'
    • Abgleich (als primär festgelegt): --filter='-matcher=PRIMARY'
    • Hostname: --filter='hostname=example.com'
    • Zugewiesene Zertifikate: --filter='certificates:my-cert'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Sie können die in einer bestimmten Zertifikatszuordnung konfigurierten Zertifikatseinträge auflisten, indem Sie eine LIST-Anfrage an die certificateMaps.certificateMapEntries.list-Methode stellen:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zielzertifikatzuordnung.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Auslieferungsstatus: --filter='state=ACTIVE'
    • Abgleich (als primär festgelegt): --filter='-matcher=PRIMARY'
    • Hostname: --filter='hostname=example.com'
    • Zugewiesene Zertifikate: --filter='certificates:my-cert'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Status eines Zertifikatszuordnungseintrags ansehen

Sie können den Status eines Eintrags der Zertifikatszuordnung aufrufen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)
  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.

So rufen Sie den Status des Eintrags der Zertifikatszuordnung auf:GETcertificateMaps.certificateMapEntries.get

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.

Zertifikatszuordnungseintrag löschen

Wenn Sie einen Eintrag der Zertifikatszuordnung löschen, werden die mit dem Eintrag der Zertifikatszuordnung verknüpften Zertifikate vom Zielproxy getrennt. Wenn Sie einen Eintrag für die Zertifikatszuordnung löschen, werden die zugehörigen Zertifikate nicht aus Google Cloudgelöscht. Sie müssen diese Zertifikate manuell löschen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.

So löschen Sie einen Eintrag in der Zertifikatszuordnung: Senden Sie eine DELETE-Anfrage an die Methode certificateMaps.certificateMapEntries.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, an die der Eintrag der Zertifikatszuordnung angehängt ist.
  • CERTIFICATE_MAP_ENTRY_NAME: der Name des Zertifikatszuordnungseintrags.

Nächste Schritte