Esta página descreve como criar e gerenciar mapas de certificado.
Para mais informações sobre mapas de certificados, consulte Como funciona o Gerenciador de certificados.
Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
referência da CLI do Certificate Manager.
Criar um CertificateMap
Para criar um mapa de certificados, siga as etapas desta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve esse mapa de certificado.
Terraform
Para criar um mapa de certificado, você pode usar um google_certificate_manager_certificate_map
recurso.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o mapa de certificados fazendo uma solicitação POST
ao método certificateMaps.create
da seguinte maneira:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve este certificado. mapa.
Anexar um mapa de certificado a um proxy
Depois de criar um mapa de certificado e preenchê-lo com entradas do mapa de certificado, será preciso anexá-lo ao proxy desejado. O Gerenciador de certificados oferece suporte a proxies HTTPS e SSL de destino. Para mais informações sobre as diferenças entre esses tipos de proxy, consulte Como usar proxies de destino.
Se houver certificados TLS (SSL) anexados diretamente à proxy, o proxy dá preferência aos certificados referenciados pelo mapa de certificados pelos certificados TLS (SSL) anexados diretamente.
Para concluir essa tarefa, você precisa ter a função de editor no projeto do Google Cloud de destino.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos compatíveis são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado. que contêm uma ou mais entradas do mapa de certificado referenciando o certificados.
API
Anexe o mapa de certificado fazendo uma solicitação POST
ao targetHttpsProxies
.
ou targetSslProxies
da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos compatíveis são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado. contendo um mapa de entradas de certificado que faz referência aos certificados de destino.
Desvincular um mapa de certificado de um proxy
Para desanexar um mapa de certificado de um proxy, siga as etapas desta seção.
Lembre-se:
- Se houver certificados TLS (SSL) anexados diretamente ao proxy, a remoção do mapa de certificados faz com que o proxy volte a usar esses certificados TLS (SSL) anexados diretamente.
- Se não houvesse certificados TLS (SSL) anexados diretamente ao proxy, o mapa de e não pode ser desanexado do proxy. Primeiro, é necessário anexar pelo menos um TLS (SSL) certificado diretamente ao proxy antes de desanexar o mapa de certificado.
Para concluir esta tarefa, você precisa ter o papel de Administrador do Compute Load Balancer no projeto do Google Cloud de destino.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --clear-certificate-map
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos compatíveis são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
API
Desanexe o mapa de certificado fazendo uma solicitação POST
ao targetHttpsProxies
ou targetSslProxies
com um valor certificateMap
vazio, da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos compatíveis são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
Atualizar um mapa de certificado
Para atualizar a descrição de um mapa de certificado, siga as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \ --description="DESCRIPTION" --update-labels="LABELS"
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição deste mapa de certificado.LABELS
é uma lista de rótulos separados por vírgulas aplicados a este mapa de certificado.
API
Atualize o mapa de certificados fazendo uma solicitação PATCH
para o método certificateMaps.patch
da seguinte maneira:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description" { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", }
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição desse mapa de certificado.LABEL_KEY
é uma chave de rótulo aplicada a este mapa de certificado.LABEL_VALUE
é um valor de rótulo aplicado a este mapa de certificado.
Listar mapas de certificado
Para listar os mapas de certificados configurados, siga as etapas deste nesta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
FILTER
é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Marcadores e data/hora de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de lista na documentação do Cloud Key Management Service.
- Marcadores e data/hora de criação:
PAGE_SIZE
é o número de resultados que serão retornados por página.LIMIT
é o número máximo de resultados a serem retornados.SORT_BY
é uma lista de camposname
separada por vírgulas em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com~
.
API
Liste os mapas de certificado configurados fazendo uma solicitação LIST
para o método
certificateMaps.list
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.FILTER
é uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
é o número de resultados a serem retornados por página.SORT_BY
é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com~
.
Conferir o estado de um mapa de certificado
Para visualizar o estado de um mapa de certificado, conclua as etapas nesta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Para conferir o estado do mapa de certificados, faça uma solicitação GET
para o método certificateMaps.get
da seguinte maneira:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
Excluir um mapa de certificado
Para excluir um mapa de certificado, siga as etapas desta seção. Antes da exclusão um mapa de certificado, é preciso primeiro desanexá-lo do proxy de destino.
Se houver entradas de mapa de certificado atribuídas ao mapa que você quer excluir, será preciso excluí-los manualmente antes de excluir o mapa; caso contrário, a exclusão do mapa vai falhar.
Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Exclua o mapa de certificados fazendo uma solicitação DELETE
para o método certificateMaps.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados