Auf dieser Seite wird beschrieben, wie Sie Zertifikatszuordnungen erstellen und verwalten.
Weitere Informationen zu Zertifikatszuordnungen finden Sie unter Funktionsweise des Zertifikatmanagers.
Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud
-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.
Zertifikatzuordnung erstellen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung zu erstellen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.
Terraform
Zum Erstellen einer Zertifikatszuordnung können Sie eine google_certificate_manager_certificate_map
-Ressource verwenden.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
API
Erstellen Sie die Zertifikatszuordnung. Stellen Sie dazu eine POST
-Anfrage an die Methode certificateMaps.create
:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.
Zertifikatszuordnung an einen Proxy anhängen
Nachdem Sie eine Zertifikatszuordnung erstellt und korrekt konfigurierte Zertifikatzuordnungseinträge eingetragen haben, müssen Sie sie an den gewünschten Proxy anhängen. Der Zertifikatmanager unterstützt Ziel-HTTPS-Proxys und Ziel-SSL-Proxys. Weitere Informationen zu den Unterschieden zwischen diesen Proxytypen finden Sie unter Zielproxys verwenden.
Wenn bereits TLS (SSL)-Zertifikate direkt an den Proxy angehängt sind, bevorzugt der Proxy die Zertifikate, auf die in der Zertifikatszuordnung verwiesen wird, gegenüber den direkt angehängten TLS (SSL)-Zertifikaten.
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Bearbeiter für das Google Cloud-Zielprojekt.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Ersetzen Sie Folgendes:
PROXY_TYPE
ist der Typ des Zielproxys. Unterstützte Typen sind:- Verwenden Sie
target-https-proxies
für Ziel-HTTP-Proxys. - Verwenden Sie
target-ssl-proxies
für Ziel-SSL-Proxys.
- Verwenden Sie
PROXY_NAME
ist der Name des Zielproxys.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, die einen oder mehrere Zertifikatszuordnungseinträge enthält, die auf die gewünschten Zertifikate verweisen.
API
Hängen Sie die Zertifikatszuordnung mit einer POST
-Anfrage an die Methode targetHttpsProxies
oder targetSslProxies
so an:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME", }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.PROXY_TYPE
ist der Typ des Zielproxys. Unterstützte Typen sind:- Verwenden Sie
targetHttpsProxies
für Ziel-HTTP-Proxys. - Verwenden Sie
targetSslProxies
für Ziel-SSL-Proxys.
- Verwenden Sie
PROXY_NAME
ist der Name des Zielproxys.CERTIFICATE_MAP_NAME
ist der Name der Zertifikatszuordnung, die Einträge für die Zertifikatszuordnung enthält, die auf die Zielzertifikate verweisen.
Zertifikatszuordnung von einem Proxy trennen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung von einem Proxy zu trennen.
Beachten Sie Folgendes:
- Wenn TLS (SSL)-Zertifikate direkt an den Proxy angehängt waren, werden nach dem Trennen der Zertifikatszuordnung wieder die direkt angehängten TLS (SSL)-Zertifikate vom Proxy verwendet.
- Wenn keine TLS (SSL)-Zertifikate direkt an den Proxy angehängt waren, kann die Zertifikatszuordnung nicht vom Proxy getrennt werden. Sie müssen zuerst mindestens ein TLS-Zertifikat (SSL) direkt an den Proxy anhängen, bevor Sie die Zertifikatszuordnung trennen können.
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Compute Load Balancer Admin für das Google Cloud-Zielprojekt.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --clear-certificate-map
Ersetzen Sie Folgendes:
PROXY_TYPE
ist der Typ des Zielproxys. Unterstützte Typen sind:- Verwenden Sie
target-https-proxies
für Ziel-HTTP-Proxys. - Verwenden Sie
target-ssl-proxies
für Ziel-SSL-Proxys.
- Verwenden Sie
PROXY_NAME
ist der Name des Zielproxys.
API
Stellen Sie eine POST
-Anfrage an die Methode targetHttpsProxies
oder targetSslProxies
mit einem leeren certificateMap
-Wert, um die Zertifikatszuordnung zu trennen:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "", }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.PROXY_TYPE
ist der Typ des Zielproxys. Unterstützte Typen sind:- Verwenden Sie
targetHttpsProxies
für Ziel-HTTP-Proxys. - Verwenden Sie
targetSslProxies
für Ziel-SSL-Proxys.
- Verwenden Sie
PROXY_NAME
ist der Name des Zielproxys.
Zertifikatszuordnung aktualisieren
Führen Sie die Schritte in diesem Abschnitt aus, um die Beschreibung einer Zertifikatszuordnung zu aktualisieren.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \ --description="DESCRIPTION" --update-labels="LABELS"
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.DESCRIPTION
ist die neue Beschreibung für diese Zertifikatszuordnung.LABELS
ist eine durch Kommas getrennte Liste von Labels, die auf diese Zertifikatszuordnung angewendet werden.
API
Aktualisieren Sie die Zertifikatszuordnung, indem Sie so eine PATCH
-Anfrage an die Methode certificateMaps.patch
stellen:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description" { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.DESCRIPTION
ist die neue Beschreibung für diese Zertifikatszuordnung.LABEL_KEY
ist ein Labelschlüssel, der auf diese Zertifikatszuordnung angewendet wird.LABEL_VALUE
ist ein Labelwert, der auf diese Zertifikatszuordnung angewendet wird.
Zertifikatszuordnungen auflisten
Führen Sie die Schritte in diesem Abschnitt aus, um die derzeit konfigurierten Zertifikatszuordnungen aufzulisten.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Ersetzen Sie Folgendes:
FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele zum Filtern von Daten, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.
- Labels und Erstellungszeit:
PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT
ist die maximale Anzahl von zurückzugebenden Ergebnissen.SORT_BY
ist eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix~
voranstellen.
API
Listen Sie die konfigurierten Zertifikatszuordnungen auf. Stellen Sie dazu eine LIST
-Anfrage an die Methode certificateMaps.list
:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY
ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix~
voranstellen.
Status einer Zertifikatszuordnung ansehen
Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Zertifikatszuordnung anzusehen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.
API
Sie können sich den Status der Zertifikatszuordnung ansehen. Stellen Sie dazu wie folgt eine GET
-Anfrage an die Methode certificateMaps.get
:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.
Zertifikatszuordnung löschen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung zu löschen. Bevor Sie eine Zertifikatszuordnung löschen, müssen Sie sie zuerst vom zugehörigen Zielproxy trennen.
Wenn der Karte Einträge zugewiesen sind, die Sie löschen möchten, müssen Sie sie manuell löschen, bevor Sie die Karte löschen können. Andernfalls schlägt das Löschen der Karte fehl.
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.
API
Löschen Sie die Zertifikatszuordnung. Stellen Sie dazu eine DELETE
-Anfrage an die Methode certificateMaps.delete
:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.CERTIFICATE_MAP_NAME
ist der Name der Zielzertifikatzuordnung.
Nächste Schritte
- Zertifikate verwalten
- Einträge in der Zertifikatszuordnung verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatsausstellung verwalten