Nesta página, descrevemos como criar e gerenciar mapas de certificados.
Para mais informações sobre mapas de certificados, consulte Como o Gerenciador de certificados funciona.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
referência da CLI do Gerenciador de certificados.
Criar um CertificateMap
Para criar um mapa de certificado, conclua as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve esse mapa de certificado.
Terraform
Para criar um mapa de certificado, use um recurso google_certificate_manager_certificate_map
.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o mapa de certificado fazendo uma solicitação POST
para o método certificateMaps.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve esse mapa de certificado.
Anexar um mapa de certificado a um proxy
Depois de criar um mapa de certificado e preenchê-lo com entradas de mapa de certificado configuradas corretamente, é preciso anexá-lo ao proxy desejado. O Gerenciador de certificados dá suporte a proxies HTTPS e SSL de destino. Para mais informações sobre as diferenças entre esses tipos de proxy, consulte Uso de proxies de destino.
Se houver certificados TLS (SSL) anexados diretamente ao proxy, o proxy vai dar preferência aos certificados referenciados pelo mapa de certificados em relação aos certificados TLS (SSL) anexados diretamente.
Para concluir esta tarefa, é preciso ter papel de Editor no projeto de destino do Google Cloud.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado que contém uma ou mais entradas que fazem referência aos certificados desejados.
API
Anexe o mapa de certificado fazendo uma solicitação POST
ao método targetHttpsProxies
ou targetSslProxies
da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado que contém as entradas de mapa de certificado que referenciam os certificados de destino.
Remover um mapa de certificado de um proxy
Para remover um mapa de certificado de um proxy, conclua as etapas nesta seção.
Lembre-se:
- Se houver algum certificado TLS (SSL) anexado diretamente ao proxy, a remoção do mapa de certificados fará com que o proxy retome o uso dos certificados TLS (SSL) anexados diretamente.
- Se não houver certificados TLS (SSL) anexados diretamente ao proxy, o mapa de certificado não poderá ser removido do proxy. Primeiro, anexe pelo menos um certificado TLS (SSL) diretamente ao proxy antes de remover o mapa de certificado.
Para concluir esta tarefa, é preciso ter o papel Administrador do balanceador de carga do Compute no projeto de destino do Google Cloud.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --clear-certificate-map
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
API
Remova o mapa de certificado fazendo uma solicitação POST
ao método targetHttpsProxies
ou targetSslProxies
com um valor certificateMap
vazio da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
Atualizar um mapa de certificado
Para atualizar a descrição de um mapa de certificados, conclua as etapas nesta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \ --description="DESCRIPTION" --update-labels="LABELS"
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição deste mapa de certificado.LABELS
é uma lista separada por vírgulas de marcadores aplicados a este mapa de certificado.
API
Atualize o mapa de certificado fazendo uma solicitação PATCH
para o método certificateMaps.patch
da seguinte maneira:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description" { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição deste mapa de certificado.LABEL_KEY
é uma chave de rótulo aplicada a este mapa de certificado.LABEL_VALUE
é um valor de rótulo aplicado a este mapa de certificado.
Listar mapas de certificados
Para listar os mapas de certificados configurados, siga as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
FILTER
é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Marcadores e horário de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Marcadores e horário de criação:
PAGE_SIZE
é o número de resultados a serem retornados por página;LIMIT
é o número máximo de resultados a serem retornados.SORT_BY
é uma lista delimitada por vírgulas de camposname
pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira~
como prefixo do campo desejado.
API
Liste os mapas de certificado configurados fazendo uma solicitação LIST
para o método certificateMaps.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.FILTER
é uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
é o número de resultados a serem retornados por página;SORT_BY
é uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira~
como prefixo do campo desejado.
Visualizar o estado de um mapa de certificado
Para conferir o estado de um mapa de certificado, conclua as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Para conferir o estado do mapa de certificado, faça uma solicitação GET
ao método certificateMaps.get
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
Excluir um mapa de certificado
Para excluir um mapa de certificado, conclua as etapas nesta seção. Antes de excluir um mapa de certificado, é necessário desconectá-lo do proxy de destino.
Se houver entradas de certificado atribuídas ao mapa que você quer excluir, exclua-as manualmente antes de excluir o mapa. Caso contrário, a exclusão falhará.
Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Exclua o mapa de certificado fazendo uma solicitação DELETE
para o método certificateMaps.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados