Mengelola entri peta sertifikat

Bagian ini menjelaskan cara membuat dan mengelola entri peta sertifikat. Entri peta sertifikat mengaitkan sertifikat dengan nama host target dan peta sertifikat target.

Untuk informasi selengkapnya tentang entri peta sertifikat, lihat Cara kerja Certificate Manager.

Untuk mempelajari cara men-deploy sertifikat dengan Certificate Manager, lihat Ringkasan deployment.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud yang digunakan di halaman ini, lihat referensi CLI Certificate Manager.

Membuat entri peta sertifikat

Untuk membuat entri peta sertifikat dan mengaitkan satu atau beberapa sertifikat dengannya, selesaikan langkah-langkah di bagian ini. Anda harus menentukan setidaknya satu sertifikat dalam entri peta sertifikat. Jika ingin menentukan lebih dari satu sertifikat untuk nama host tertentu, Anda hanya dapat melakukannya jika setiap sertifikat menggunakan rangkaian penyandian yang berbeda—misalnya, ECDSA dan RSA.

Untuk mengaitkan beberapa sertifikat dengan entri peta sertifikat, berikan daftar nama sertifikat yang dipisahkan koma untuk dikaitkan dengan entri tersebut. Anda dapat mengaitkan maksimum 4 sertifikat dengan satu entri peta sertifikat. Untuk setiap subdomain, Anda harus membuat entri peta sertifikat terpisah.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Ganti kode berikut:

  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_NAMES adalah daftar nama sertifikat yang ingin dikaitkan dengan entri peta sertifikat ini yang dipisahkan koma.
  • HOSTNAME adalah nama host yang ingin Anda kaitkan dengan entri peta sertifikat ini.

Terraform

Untuk membuat entri peta sertifikat, Anda dapat menggunakan resource google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Buat entri peta sertifikat dengan membuat permintaan POST ke metode certificateMaps.certificateMapEntries.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • HOSTNAME adalah nama host yang ingin Anda kaitkan dengan entri peta sertifikat ini.
  • CERTIFICATE_NAME adalah nama sertifikat yang ingin Anda kaitkan dengan entri peta sertifikat ini.

Untuk mengetahui informasi tentang cara load balancer memilih sertifikat selama handshake, lihat Logika pemilihan sertifikat.

Membuat entri peta sertifikat utama

Anda dapat menentukan sertifikat utama yang ditayangkan load balancer jika klien tidak memberikan nama host atau memberikan nama host yang tidak dapat dicocokkan oleh load balancer dengan entri peta sertifikat apa pun yang dikonfigurasi.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Ganti kode berikut:

  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_NAMES adalah daftar nama sertifikat yang ingin dikaitkan dengan entri peta sertifikat ini yang dipisahkan koma.

API

Buat entri peta sertifikat dengan membuat permintaan POST ke metode certificateMaps.certificateMapEntries.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_NAME adalah nama sertifikat yang ingin Anda kaitkan dengan entri peta sertifikat ini.

Untuk mengetahui informasi tentang cara load balancer memilih sertifikat selama handshake, lihat Logika pemilihan sertifikat.

Memperbarui entri peta sertifikat

Untuk memperbarui entri peta sertifikat, selesaikan langkah-langkah di bagian ini. Anda dapat memperbarui entri peta sertifikat sebagai berikut:

  • Menetapkan atau membatalkan penetapan sertifikat
  • Mengubah deskripsi
  • Mengubah label

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ganti kode berikut:

  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_NAME adalah nama sertifikat yang ingin Anda kaitkan dengan entri peta sertifikat ini.
  • DESCRIPTION adalah deskripsi yang bermakna untuk entri peta sertifikat ini.
  • LABELS adalah daftar label yang diterapkan ke entri peta sertifikat ini.

API

Perbarui entri peta sertifikat dengan membuat permintaan PATCH ke metode certificateMaps.certificateMapEntries.patch seperti berikut:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_MAP_ENTRY_NAME adalah nama unik yang menjelaskan entri peta sertifikat ini.
  • CERTIFICATE_NAME adalah nama sertifikat yang ingin Anda kaitkan dengan entri peta sertifikat ini.
  • DESCRIPTION adalah deskripsi yang bermakna untuk entri peta sertifikat ini.
  • LABEL_KEY adalah kunci label yang diterapkan ke entri peta sertifikat ini.
  • LABEL_VALUE adalah nilai label yang diterapkan ke entri peta sertifikat ini.

Mencantumkan entri peta sertifikat

Untuk mencantumkan entri peta sertifikat yang saat ini dikonfigurasi dalam peta sertifikat target, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ganti kode berikut:

  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat target.

  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu. Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:

    • Status penayangan: --filter='state=ACTIVE'
    • Matcher (ditetapkan sebagai utama): --filter='-matcher=PRIMARY'
    • Nama host: --filter='hostname=example.com'
    • Sertifikat yang ditetapkan: --filter='certificates:my-cert'
    • Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk mengetahui contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT adalah jumlah hasil maksimum untuk ditampilkan.

  • SORT_BY adalah daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Tata urutan default adalah menaik; untuk tata urutan menurun, awali kolom yang diinginkan dengan ~.

API

Tampilkan daftar entri peta sertifikat yang dikonfigurasi dalam peta sertifikat tertentu dengan membuat permintaan LIST ke metode certificateMaps.certificateMapEntries.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat target.
  • FILTER adalah ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
  • PAGE_SIZE adalah jumlah hasil yang akan ditampilkan per halaman.
  • SORT_BY adalah daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Tata urutan default adalah menaik; untuk tata urutan menurun, awali kolom yang diinginkan dengan ~.

Melihat status entri peta sertifikat

Untuk melihat status entri peta sertifikat, selesaikan langkah-langkah di bagian ini.

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Ganti kode berikut:

  • CERTIFICATE_MAP_ENTRY_NAME adalah nama entri peta sertifikat target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.

API

Lihat status entri peta sertifikat dengan membuat permintaan GET ke metode certificateMaps.certificateMapEntries.get sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_MAP_ENTRY_NAME adalah nama entri peta sertifikat target.

Menghapus entri peta sertifikat

Untuk menghapus entri peta sertifikat dari peta sertifikat, selesaikan langkah-langkah di bagian ini. Tindakan ini akan melepaskan sertifikat yang terkait dengan entri peta sertifikat dari proxy target.

Menghapus entri peta sertifikat tidak akan menghapus sertifikat terkait. Untuk menghapus sertifikat tersebut dari Google Cloud, Anda harus secara manual menghapusnya.

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Certificate Manager Owner di project Google Cloud target.

Untuk informasi selengkapnya, lihat Peran dan izin.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Ganti kode berikut:

  • CERTIFICATE_MAP_ENTRY_NAME adalah nama entri peta sertifikat target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.

API

Hapus entri peta sertifikat dengan membuat permintaan DELETE ke metode certificateMaps.certificateMapEntries.delete seperti berikut:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Ganti kode berikut:

  • PROJECT_ID adalah ID project Google Cloud target.
  • CERTIFICATE_MAP_NAME adalah nama peta sertifikat tempat entri peta sertifikat ini dilampirkan.
  • CERTIFICATE_MAP_ENTRY_NAME adalah nama entri peta sertifikat target.

Langkah selanjutnya