Zertifikatzuordnungen verwalten

Auf dieser Seite wird beschrieben, wie Sie Zertifikatszuordnungen erstellen und verwalten.

Weitere Informationen zu Zertifikatzuordnungen finden Sie unter Funktionsweise des Zertifikatmanagers.

Weitere Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz für die Certificate Manager-Befehlszeile.

Zertifikatzuordnung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung zu erstellen.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.

Terraform

Zum Erstellen einer Zertifikatszuordnung können Sie eine google_certificate_manager_certificate_map Ressource.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie die Zertifikatzuordnung mit einer POST-Anfrage an die Methode certificateMaps.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.

Zertifikatszuordnung an einen Proxy anhängen

Nachdem Sie eine Zertifikatszuordnung erstellt und mit ordnungsgemäß konfigurierten Einträgen für die Zertifikatszuordnung gefüllt haben, müssen Sie sie an den gewünschten Proxy anhängen. Certificate Manager unterstützt Ziel-HTTPS-Proxys und Ziel-SSL-Proxys. Weitere Informationen zur Unterschiede zwischen diesen Proxytypen finden Sie unter Zielproxys verwenden.

Sind bereits TLS/SSL-Zertifikate direkt an die Proxy gibt der Proxy den Vorzug für die Zertifikate, auf die von der Zertifikatszuordnung verwiesen wird. über die direkt angehängten TLS/SSL-Zertifikate.

Für diese Aufgabe benötigen Sie die Rolle Bearbeiter für das Google Cloud-Zielprojekt.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • PROXY_TYPE ist der Typ des Ziel-Proxys. Folgende Typen werden unterstützt:
    • Verwenden Sie für Ziel-HTTP-Proxys target-https-proxies.
    • Verwenden Sie für Ziel-SSL-Proxys target-ssl-proxies.
  • PROXY_NAME ist der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung. die einen oder mehrere Zertifikatszuordnungseinträge enthält, die den gewünschten Eintrag Zertifikate.

API

Hängen Sie die Zertifikatszuordnung an, indem Sie eine POST-Anfrage an die Methode targetHttpsProxies oder targetSslProxies stellen:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • PROXY_TYPE ist der Typ des Ziel-Proxys. Folgende Typen werden unterstützt:
    • Verwenden Sie targetHttpsProxies für Ziel-HTTP-Proxys.
    • Verwenden Sie targetSslProxies für SSL-Ziel-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung. mit Zertifikatzuordnungseinträgen, die auf die Zielzertifikate verweisen.

Zertifikatszuordnung von einem Proxy trennen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung von einem Proxy zu trennen.

Beachten Sie Folgendes:

  • Wenn direkt am Proxy TLS-Zertifikate (SSL) angehängt waren, verwendet der Proxy nach dem Entfernen der Zertifikatzuordnung wieder die direkt angehängten TLS-Zertifikate (SSL).
  • Wenn keine TLS/SSL-Zertifikate direkt mit dem Proxy verbunden sind, ist die Zertifikatszuordnung kann nicht vom Proxy getrennt werden. Sie müssen zuerst mindestens ein TLS-Zertifikat (SSL) direkt an den Proxy anhängen, bevor Sie die Zertifikatzuordnung trennen können.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Compute Load Balancer Admin für das Ziel-Google Cloud-Projekt.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Ersetzen Sie Folgendes:

  • PROXY_TYPE ist der Typ des Ziel-Proxys. Folgende Typen werden unterstützt:
    • Verwenden Sie für Ziel-HTTP-Proxys target-https-proxies.
    • Verwenden Sie für Ziel-SSL-Proxys target-ssl-proxies.
  • PROXY_NAME ist der Name des Zielproxys.

API

Trennen Sie die Zertifikatszuordnung, indem Sie eine POST-Anfrage an die Methode targetHttpsProxies oder targetSslProxies mit einem leeren certificateMap-Wert senden:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • PROXY_TYPE ist der Typ des Ziel-Proxys. Folgende Typen werden unterstützt:
    • Verwenden Sie targetHttpsProxies für Ziel-HTTP-Proxys.
    • Verwenden Sie targetSslProxies für SSL-Ziel-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.

Zertifikatszuordnung aktualisieren

Führen Sie die Schritte in diesem Abschnitt aus, um die Beschreibung einer Zertifikatszuordnung zu aktualisieren.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatszuordnung.
  • DESCRIPTION ist die neue Beschreibung für diese Zertifikatszuordnung.
  • LABELS ist eine durch Kommas getrennte Liste von Labels, die auf diese Zertifikatszuordnung angewendet werden.

API

Aktualisieren Sie die Zertifikatszuordnung mit einer PATCH-Anfrage an certificateMaps.patch. wie folgt:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Ziel-Zertifikatszuordnung.
  • DESCRIPTION ist die neue Beschreibung für diese Zertifikatszuordnung.
  • LABEL_KEY ist ein Labelschlüssel, der auf diese Zertifikatszuordnung angewendet wird.
  • LABEL_VALUE ist ein Labelwert, der auf diese Zertifikatszuordnung angewendet wird.

Zertifikatszuordnungen auflisten

Um die derzeit konfigurierten Zertifikatszuordnungen aufzulisten, führen Sie die Schritte in dieser .

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien:

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, Siehe Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem gewünschten Feld ~ voran.

API

Listet konfigurierte Zertifikatzuordnungen auf, indem du eine LIST-Anfrage an die certificateMaps.list-Methode sendest:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • FILTER ist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem gewünschten Feld ~ voran.

Status einer Zertifikatszuordnung ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Zertifikatzuordnung aufzurufen.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatszuordnung.

API

Rufen Sie den Status der Zertifikatszuordnung auf, indem Sie eine GET-Anfrage an certificateMaps.get stellen wie folgt:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Ziel-Zertifikatszuordnung.

Zertifikatzuordnung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatzuordnung zu löschen. Vor dem Löschen Zertifikatzuordnung müssen Sie zuerst von seinem Zielproxy trennen.

Wenn der Karte, die Sie löschen möchten, Zertifikatzuordnungseinträge zugewiesen sind, müssen Sie diese manuell löschen, bevor Sie die Karte löschen können. Andernfalls schlägt das Löschen der Karte fehl.

Für diese Aufgabe benötigen Sie die Rolle „Inhaber des Zertifikatsmanagers“ für das Ziel-Google Cloud-Projekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatszuordnung.

API

Löschen Sie die Zertifikatzuordnung, indem Sie eine DELETE-Anfrage an die certificateMaps.delete-Methode stellen:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Ziel-Zertifikatszuordnung.

Nächste Schritte