Gérer les mappages de certificats

Cette page explique comment créer et gérer des mises en correspondance de certificats.

Pour en savoir plus sur les mappages de certificats, consultez la section Fonctionnement du gestionnaire de certificats.

Pour apprendre à déployer un certificat avec le gestionnaire de certificats, consultez la page Présentation du déploiement.

Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez la documentation de référence de la CLI Certificate Manager.

Créer un mappage de certificat

Pour créer un mappage de certificats, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est un nom unique qui décrit ce mappage de certificat.

Terraform

Pour créer un mappage de certificats, vous pouvez utiliser un google_certificate_manager_certificate_map ressource.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

API

Créez le mappage de certificat en envoyant une requête POST à la méthode certificateMaps.create comme suit :

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est un nom unique qui décrit ce mappage de certificat.

Associer un mappage de certificat à un proxy

Après avoir créé un mappage de certificat et l'avoir renseigné avec des entrées de mappage de certificat correctement configurées, vous devez l'associer au proxy souhaité. Compatibilité du gestionnaire de certificats proxys HTTPS cibles et proxys SSL cibles. Pour en savoir plus sur les différences entre ces types de proxys, consultez la section Utiliser des proxys cibles.

Si des certificats TLS (SSL) existants sont directement associés au proxy, le proxy privilégie les certificats référencés par le mappage de certificats. les certificats TLS (SSL) directement associés.

Pour effectuer cette tâche, vous devez disposer du rôle Éditeur au niveau du projet Google Cloud cible.

gcloud

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Remplacez les éléments suivants :

  • PROXY_TYPE correspond au type du proxy cible. Voici les types acceptés :
    • Pour les proxys HTTP cibles, utilisez target-https-proxies.
    • Pour les proxys SSL cibles, utilisez target-ssl-proxies.
  • PROXY_NAME est le nom du proxy cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats. contenant une ou plusieurs entrées de mappage de certificats référençant l'emplacement souhaité certificats.

API

Associez le mappage de certificats en envoyant une requête POST à la méthode targetHttpsProxies ou targetSslProxies comme suit :

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • PROXY_TYPE est le type du proxy cible. Les types acceptés sont les suivants:
    • Pour les proxys HTTP cibles, utilisez targetHttpsProxies.
    • Pour les proxys SSL cibles, utilisez targetSslProxies.
  • PROXY_NAME est le nom du proxy cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats. contenant des entrées de mappage de certificat faisant référence aux certificats cibles.

Dissocier un mappage de certificat d'un proxy

Pour dissocier une mise en correspondance de certificats d'un proxy, suivez les étapes décrites dans cette section.

Tenez bien compte des éléments suivants :

  • Si des certificats TLS (SSL) étaient associés directement au proxy, le détachement de la carte de certificats permet au proxy de reprendre l'utilisation de ces certificats TLS (SSL) associés directement.
  • Si aucun certificat TLS (SSL) n'était associé directement au proxy, la carte de certificats ne peut pas être dissociée du proxy. Vous devez d'abord associer au moins un protocole TLS (SSL) certificat directement au proxy avant de pouvoir dissocier le mappage de certificat.

Pour effectuer cette tâche, vous devez disposer du rôle Administrateur du load balancer Compute sur le projet Google Cloud cible.

gcloud

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Remplacez les éléments suivants :

  • PROXY_TYPE correspond au type du proxy cible. Voici les types acceptés :
    • Pour les proxys HTTP cibles, utilisez target-https-proxies.
    • Pour les proxys SSL cibles, utilisez target-ssl-proxies.
  • PROXY_NAME est le nom du proxy cible.

API

Détachez le mappage de certificats en envoyant une requête POST à la méthode targetHttpsProxies ou targetSslProxies avec une valeur certificateMap vide, comme suit :

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • PROXY_TYPE est le type du proxy cible. Les types acceptés sont les suivants:
    • Pour les proxys HTTP cibles, utilisez targetHttpsProxies.
    • Pour les proxys SSL cibles, utilisez targetSslProxies.
  • PROXY_NAME est le nom du proxy cible.

Mettre à jour un mappage de certificat

Pour mettre à jour la description d'un mappage de certificats, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.
  • DESCRIPTION est la nouvelle description de ce mappage de certificats.
  • LABELS est une liste d'étiquettes appliquées à ce mappage de certificats, séparées par une virgule.

API

Mettez à jour le mappage de certificats en envoyant une requête PATCH à la méthode certificateMaps.patch comme suit :

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats cible.
  • DESCRIPTION est la nouvelle description de ce mappage de certificats.
  • LABEL_KEY est une clé de libellé appliquée à ce mappage de certificats.
  • LABEL_VALUE est une valeur de libellé appliquée à ce mappage de certificats.

Lister les mappages de certificats

Pour lister les mappages de certificats actuellement configurés, suivez les étapes décrites dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • FILTER est une expression qui limite l'expression les résultats à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats en fonction des critères suivants :

    • Libellés et date de création: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour accéder à d'autres exemples de filtrage à utiliser avec le gestionnaire de certificats, Voir la section Trier et filtrer les résultats sous forme de listes dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE est le nombre de résultats à renvoyer par page.

  • LIMIT est le nombre maximal de résultats à renvoyer.

  • SORT_BY est une liste de champs name séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un préfixe ~ au champ souhaité.

API

Répertoriez les mappages de certificats configurés en envoyant une requête LIST à la méthode certificateMaps.list comme suit :

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • FILTER est une expression qui limite l'expression les résultats à des valeurs spécifiques.
  • PAGE_SIZE est le nombre de résultats à renvoyer par page.
  • SORT_BY est une liste de noms de champs séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un préfixe ~ au champ souhaité.

Afficher l'état d'un mappage de certificat

Pour afficher l'état d'une carte de certificat, suivez les étapes décrites dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats cible.

API

Affichez l'état du mappage de certificats en envoyant une requête GET à la méthode certificateMaps.get comme suit :

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

Supprimer un mappage de certificat

Pour supprimer un mappage de certificats, suivez les étapes décrites dans cette section. Avant de supprimer un mappage de certificats, vous devez d'abord le dissocier de son proxy cible.

Si des entrées de mappage de certificats sont attribuées au mappage que vous souhaitez supprimer, vous devez les supprimer manuellement avant de pouvoir supprimer la carte ; sinon la suppression de la carte échouera.

Pour effectuer cette tâche, vous devez disposer du rôle Propriétaire du gestionnaire de certificats sur le projet Google Cloud cible.

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats cible.

API

Supprimez le mappage de certificats en envoyant une requête DELETE à la méthode certificateMaps.delete comme suit :

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

Étape suivante