Eine Zertifikatszuordnung verweist auf einen oder mehrere Zertifikatszuordnungseinträge, die bestimmte Zertifikate bestimmten Hostnamen zuweisen. Auf dieser Seite wird beschrieben, wie Sie Zertifikatszuordnungen erstellen und verwalten.
Weitere Informationen finden Sie unter Zertifikatszuordnungen.
Zertifikatzuordnung erstellen
Sie erstellen eine Zertifikatszuordnung, um auf den Eintrag in der Zertifikatszuordnung zu verweisen, der mit Ihrem Zertifikat verknüpft ist.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud certificate-manager maps create
, um eine Zertifikatzuordnung zu erstellen:
gcloud certificate-manager maps createCERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Senden Sie zum Erstellen einer Zertifikatzuordnung eine POST
-Anfrage an die Methode certificateMaps.create
:
POST /v1/projects/PROJECT_ID /locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Zum Erstellen einer Zertifikatzuordnung können Sie eine google_certificate_manager_certificate_map
-Ressource verwenden.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Zertifikatszuordnung an einen Proxy anhängen
Nachdem Sie eine Zertifikatszuordnung mit Einträgen für die Zertifikatszuordnung erstellt und konfiguriert haben, hängen Sie die Zertifikatszuordnung an den Zielproxy an. Der Zertifikatmanager unterstützt sowohl HTTPS- als auch SSL-Zielproxys mit globalem Umfang. Weitere Informationen zu den Unterschieden zwischen diesen Proxytypen finden Sie unter Zielproxys verwenden.
Wenn Sie dem Zielproxy ein TLS- (SSL-)Zertifikat und auch Zertifikate über eine Zertifikatszuordnung anhängen, verwendet der Proxy die in der Zertifikatszuordnung referenzierten Zertifikate und ignoriert das direkt angehängte Zertifikat.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud
compute target-https-proxies update
, um die Zertifikatzuordnung an den Ziel-HTTPS-Proxy anzuhängen:
gcloud compute target-https-proxies updatePROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME "
Verwenden Sie den Befehl gcloud compute
target-ssl-proxies update
, um die Zertifikatzuordnung an den Ziel-SSL-Proxy anzuhängen:
gcloud compute target-ssl-proxies updatePROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME "
Ersetzen Sie Folgendes:
PROXY_NAME
: der Name des Zielproxys.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung, die Einträge enthält, die auf die Zielzertifikate verweisen.
Wenn Sie die Zertifikatzuordnung an den Ziel-HTTPS-Proxy anhängen möchten, senden Sie eine POST
-Anfrage an die targetHttpsProxies
-Methode:
POST /projects/PROJECT_ID /global/targetHttpsProxies/PROXY_NAME /setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID /locations/global/certificateMaps/CERTIFICATE_MAP_NAME ", }
Wenn Sie die Zertifikatzuordnung an den Ziel-SSL-Proxy anhängen möchten, senden Sie eine POST
-Anfrage an die targetSslProxies
-Methode:
POST /projects/PROJECT_ID /global/targetSslProxies/PROXY_NAME /setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID /locations/global/certificateMaps/CERTIFICATE_MAP_NAME ", }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.PROXY_NAME
: der Name des Zielproxys.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung, die Einträge enthält, die auf die Zielzertifikate verweisen.
Zertifikatszuordnung von einem Proxy trennen
Beachten Sie Folgendes, bevor Sie eine Zertifikatzuordnung von einem Proxy trennen:
Wenn TLS-Zertifikate (SSL) direkt mit dem Proxy verknüpft sind, wird die Verwendung der Zertifikate durch das Entfernen der Zertifikatzuordnung fortgesetzt.
Wenn keine TLS- (SSL-)Zertifikate direkt mit dem Proxy verknüpft sind, kann die Zertifikatzuordnung nicht getrennt werden. Hängen Sie mindestens ein TLS-Zertifikat direkt an den Proxy an, bevor Sie die Zertifikatszuordnung trennen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Administrator für Compute-Load-Balancer“ (
roles/compute.loadBalancerAdmin
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud compute target-https-proxies update
, um alle angehängten Zertifikatzuordnungen vom Ziel-HTTPS-Proxy zu lösen:
gcloud compute target-https-proxies updatePROXY_NAME \ --clear-certificate-map
Verwenden Sie den Befehl gcloud compute target-ssl-proxies update
, um alle angehängten Zertifikatzuordnungen vom Ziel-SSL-Proxy zu lösen:
gcloud compute target-ssl-proxies updatePROXY_NAME \ --clear-certificate-map
Ersetzen Sie Folgendes:
PROXY_NAME
: der Name des Zielproxys.
Wenn Sie eine angehängte Zertifikatzuordnung vom Ziel-HTTPS-Proxy trennen möchten, senden Sie eine POST
-Anfrage an die targetHttpsProxies
-Methode:
POST /projects/PROJECT_ID /global/targetHttpsProxies/PROXY_NAME /setCertificateMap { certificateMap: "", }
Wenn Sie eine angehängte Zertifikatzuordnung vom Ziel-SSL-Proxy trennen möchten, senden Sie eine POST
-Anfrage an die targetSslProxies
-Methode:
POST /projects/PROJECT_ID /global/targetSslProxies/PROXY_NAME /setCertificateMap { certificateMap: "", }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.PROXY_NAME
: der Name des Zielproxys.
Zertifikatszuordnung aktualisieren
Sie können die Beschreibung und die Labels einer Zertifikatskarte aktualisieren.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud certificate-manager maps update
, um eine Zertifikatzuordnung zu aktualisieren:
gcloud certificate-manager maps updateCERTIFICATE_MAP_NAME \ --description="DESCRIPTION " --update-labels="LABELS "
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.DESCRIPTION
: die neue Beschreibung für diese Zertifikatszuordnung.LABELS
: eine durch Kommas getrennte Liste von Labels, die auf diese Zertifikatzuordnung angewendet werden.
Wenn Sie die Zertifikatzuordnung aktualisieren möchten, senden Sie eine PATCH
-Anfrage an die Methode certificateMaps.patch
:
PATCH /v1/projects/PROJECT_ID /locations/global/certificateMaps/CERTIFICATE_MAP_NAME ?updateMask=labels,description" { "description": "DESCRIPTION ", "labels": { "LABEL_KEY ": "LABEL_VALUE ", } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.DESCRIPTION
: die neue Beschreibung für diese Zertifikatszuordnung.LABEL_KEY
: Labelschlüssel, der auf diese Zertifikatzuordnung angewendet wird.LABEL_VALUE
: ein Label, das auf diese Zertifikatszuordnung angewendet wird.
Zertifikatszuordnungen auflisten
Sie können alle konfigurierten Zertifikatzuordnungen des Projekts auflisten, filtern und sortieren.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
) - Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud certificate-manager maps list
, um Zertifikatzuordnungen aufzulisten:
gcloud certificate-manager maps list \ --filter="FILTER " \ --page-size="PAGE_SIZE " \ --limit="LIMIT " \ --sort-by="SORT_BY "
Ersetzen Sie Folgendes:
FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.LIMIT
: Die maximale Anzahl der zurückzugebenden Ergebnisse.SORT_BY
: Eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.
Wenn Sie konfigurierte Zertifikatzuordnungen auflisten möchten, senden Sie eine LIST
-Anfrage an die Methode certificateMaps.list
:
GET /v1/projects/PROJECT_ID /locations/global/certificateMaps?filter=FILTER &pageSize=PAGE_SIZE &sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.SORT_BY
: Eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.
Details einer Zertifikatskarte ansehen
Sie können sich die Details einer vorhandenen Zertifikatzuordnung ansehen, z. B. das Erstellungsdatum und die Uhrzeit der letzten Aktualisierung.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
) - Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud certificate-manager maps describe
, um den Status einer Zertifikatszuordnung aufzurufen:
gcloud certificate-manager maps describeCERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Wenn Sie die Details der Zertifikatszuordnung aufrufen möchten, senden Sie eine GET
-Anfrage an die Methode certificateMaps.get
:
GET /v1/projects/PROJECT_ID /locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Zertifikatzuordnung löschen
Bevor Sie eine Zertifikatzuordnung löschen, gehen Sie so vor:
- Trennen Sie die Zertifikatszuordnung vom Zielproxy.
- Wenn der Zuordnung Einträge der Zertifikatszuordnung zugewiesen sind, löschen Sie diese.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Verwenden Sie den Befehl gcloud certificate-manager maps delete
, um eine Zertifikatzuordnung zu löschen:
gcloud certificate-manager maps deleteCERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Wenn Sie die Zertifikatzuordnung löschen möchten, senden Sie eine DELETE
-Anfrage an die Methode certificateMaps.delete
:
DELETE /v1/projects/PROJECT_ID /locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_MAP_NAME
: der Name der Zertifikatszuordnung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Ressourcen für die Konfiguration der Zertifikatausstellung verwalten