Gerenciar mapas de certificados

Esta página descreve como criar e gerenciar mapas de certificado.

Para mais informações sobre mapas de certificados, consulte Como funciona o Gerenciador de certificados.

Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a referência da CLI do Certificate Manager.

Criar um CertificateMap

Para criar um mapa de certificados, siga as etapas desta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve esse mapa de certificado.

Terraform

Para criar um mapa de certificado, você pode usar um google_certificate_manager_certificate_map recurso.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o mapa de certificados fazendo uma solicitação POST ao método certificateMaps.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve este certificado. mapa.

Anexar um mapa de certificado a um proxy

Depois de criar um mapa de certificado e preenchê-lo com entradas do mapa de certificado, será preciso anexá-lo ao proxy desejado. O Gerenciador de certificados oferece suporte a proxies HTTPS e SSL de destino. Para mais informações sobre as diferenças entre esses tipos de proxy, consulte Como usar proxies de destino.

Se houver certificados TLS (SSL) anexados diretamente à proxy, o proxy dá preferência aos certificados referenciados pelo mapa de certificados pelos certificados TLS (SSL) anexados diretamente.

Para concluir essa tarefa, você precisa ter a função de editor no projeto do Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos compatíveis são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado. que contêm uma ou mais entradas do mapa de certificado referenciando o certificados.

API

Anexe o mapa de certificado fazendo uma solicitação POST ao targetHttpsProxies. ou targetSslProxies da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos compatíveis são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado. contendo um mapa de entradas de certificado que faz referência aos certificados de destino.

Desvincular um mapa de certificado de um proxy

Para desanexar um mapa de certificado de um proxy, siga as etapas desta seção.

Lembre-se:

  • Se houver certificados TLS (SSL) anexados diretamente ao proxy, a remoção do mapa de certificados faz com que o proxy volte a usar esses certificados TLS (SSL) anexados diretamente.
  • Se não houvesse certificados TLS (SSL) anexados diretamente ao proxy, o mapa de e não pode ser desanexado do proxy. Primeiro, é necessário anexar pelo menos um TLS (SSL) certificado diretamente ao proxy antes de desanexar o mapa de certificado.

Para concluir esta tarefa, você precisa ter o papel de Administrador do Compute Load Balancer no projeto do Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos compatíveis são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.

API

Desanexe o mapa de certificado fazendo uma solicitação POST ao targetHttpsProxies ou targetSslProxies com um valor certificateMap vazio, da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos compatíveis são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.

Atualizar um mapa de certificado

Para atualizar a descrição de um mapa de certificado, siga as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição deste mapa de certificado.
  • LABELS é uma lista de rótulos separados por vírgulas aplicados a este mapa de certificado.

API

Atualize o mapa de certificados fazendo uma solicitação PATCH para o método certificateMaps.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição desse mapa de certificado.
  • LABEL_KEY é uma chave de rótulo aplicada a este mapa de certificado.
  • LABEL_VALUE é um valor de rótulo aplicado a este mapa de certificado.

Listar mapas de certificado

Para listar os mapas de certificados configurados, siga as etapas deste nesta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • FILTER é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Marcadores e data/hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados que serão retornados por página.

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista de campos name separada por vírgulas em que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com ~.

API

Liste os mapas de certificado configurados fazendo uma solicitação LIST para o método certificateMaps.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE é o número de resultados a serem retornados por página.
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com ~.

Conferir o estado de um mapa de certificado

Para visualizar o estado de um mapa de certificado, conclua as etapas nesta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Para conferir o estado do mapa de certificados, faça uma solicitação GET para o método certificateMaps.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

Excluir um mapa de certificado

Para excluir um mapa de certificado, siga as etapas desta seção. Antes da exclusão um mapa de certificado, é preciso primeiro desanexá-lo do proxy de destino.

Se houver entradas de mapa de certificado atribuídas ao mapa que você quer excluir, será preciso excluí-los manualmente antes de excluir o mapa; caso contrário, a exclusão do mapa vai falhar.

Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Exclua o mapa de certificados fazendo uma solicitação DELETE para o método certificateMaps.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

A seguir