Zertifikatzuordnungen verwalten

Auf dieser Seite wird beschrieben, wie Sie Zertifikatszuordnungen erstellen und verwalten.

Weitere Informationen zu Zertifikatszuordnungen finden Sie unter Funktionsweise des Zertifikatmanagers.

Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.

Zertifikatzuordnung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung zu erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.

Terraform

Zum Erstellen einer Zertifikatszuordnung können Sie eine google_certificate_manager_certificate_map-Ressource verwenden.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie die Zertifikatszuordnung. Stellen Sie dazu eine POST-Anfrage an die Methode certificateMaps.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist ein eindeutiger Name, der diese Zertifikatszuordnung beschreibt.

Zertifikatszuordnung an einen Proxy anhängen

Nachdem Sie eine Zertifikatszuordnung erstellt und korrekt konfigurierte Zertifikatzuordnungseinträge eingetragen haben, müssen Sie sie an den gewünschten Proxy anhängen. Der Zertifikatmanager unterstützt Ziel-HTTPS-Proxys und Ziel-SSL-Proxys. Weitere Informationen zu den Unterschieden zwischen diesen Proxytypen finden Sie unter Zielproxys verwenden.

Wenn bereits TLS (SSL)-Zertifikate direkt an den Proxy angehängt sind, bevorzugt der Proxy die Zertifikate, auf die in der Zertifikatszuordnung verwiesen wird, gegenüber den direkt angehängten TLS (SSL)-Zertifikaten.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Bearbeiter für das Google Cloud-Zielprojekt.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • PROXY_TYPE ist der Typ des Zielproxys. Unterstützte Typen sind:
    • Verwenden Sie target-https-proxies für Ziel-HTTP-Proxys.
    • Verwenden Sie target-ssl-proxies für Ziel-SSL-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die einen oder mehrere Zertifikatszuordnungseinträge enthält, die auf die gewünschten Zertifikate verweisen.

API

Hängen Sie die Zertifikatszuordnung mit einer POST-Anfrage an die Methode targetHttpsProxies oder targetSslProxies so an:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • PROXY_TYPE ist der Typ des Zielproxys. Unterstützte Typen sind:
    • Verwenden Sie targetHttpsProxies für Ziel-HTTP-Proxys.
    • Verwenden Sie targetSslProxies für Ziel-SSL-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME ist der Name der Zertifikatszuordnung, die Einträge für die Zertifikatszuordnung enthält, die auf die Zielzertifikate verweisen.

Zertifikatszuordnung von einem Proxy trennen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung von einem Proxy zu trennen.

Beachten Sie Folgendes:

  • Wenn TLS (SSL)-Zertifikate direkt an den Proxy angehängt waren, werden nach dem Trennen der Zertifikatszuordnung wieder die direkt angehängten TLS (SSL)-Zertifikate vom Proxy verwendet.
  • Wenn keine TLS (SSL)-Zertifikate direkt an den Proxy angehängt waren, kann die Zertifikatszuordnung nicht vom Proxy getrennt werden. Sie müssen zuerst mindestens ein TLS-Zertifikat (SSL) direkt an den Proxy anhängen, bevor Sie die Zertifikatszuordnung trennen können.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle Compute Load Balancer Admin für das Google Cloud-Zielprojekt.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Ersetzen Sie Folgendes:

  • PROXY_TYPE ist der Typ des Zielproxys. Unterstützte Typen sind:
    • Verwenden Sie target-https-proxies für Ziel-HTTP-Proxys.
    • Verwenden Sie target-ssl-proxies für Ziel-SSL-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.

API

Stellen Sie eine POST-Anfrage an die Methode targetHttpsProxies oder targetSslProxies mit einem leeren certificateMap-Wert, um die Zertifikatszuordnung zu trennen:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • PROXY_TYPE ist der Typ des Zielproxys. Unterstützte Typen sind:
    • Verwenden Sie targetHttpsProxies für Ziel-HTTP-Proxys.
    • Verwenden Sie targetSslProxies für Ziel-SSL-Proxys.
  • PROXY_NAME ist der Name des Zielproxys.

Zertifikatszuordnung aktualisieren

Führen Sie die Schritte in diesem Abschnitt aus, um die Beschreibung einer Zertifikatszuordnung zu aktualisieren.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.
  • DESCRIPTION ist die neue Beschreibung für diese Zertifikatszuordnung.
  • LABELS ist eine durch Kommas getrennte Liste von Labels, die auf diese Zertifikatszuordnung angewendet werden.

API

Aktualisieren Sie die Zertifikatszuordnung, indem Sie so eine PATCH-Anfrage an die Methode certificateMaps.patch stellen:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.
  • DESCRIPTION ist die neue Beschreibung für diese Zertifikatszuordnung.
  • LABEL_KEY ist ein Labelschlüssel, der auf diese Zertifikatszuordnung angewendet wird.
  • LABEL_VALUE ist ein Labelwert, der auf diese Zertifikatszuordnung angewendet wird.

Zertifikatszuordnungen auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die derzeit konfigurierten Zertifikatszuordnungen aufzulisten.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele zum Filtern von Daten, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix ~ voranstellen.

API

Listen Sie die konfigurierten Zertifikatszuordnungen auf. Stellen Sie dazu eine LIST-Anfrage an die Methode certificateMaps.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Für eine absteigende Sortierreihenfolge müssen Sie dem gewünschten Feld das Präfix ~ voranstellen.

Status einer Zertifikatszuordnung ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Zertifikatszuordnung anzusehen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.

API

Sie können sich den Status der Zertifikatszuordnung ansehen. Stellen Sie dazu wie folgt eine GET-Anfrage an die Methode certificateMaps.get:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.

Zertifikatszuordnung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Zertifikatszuordnung zu löschen. Bevor Sie eine Zertifikatszuordnung löschen, müssen Sie sie zuerst vom zugehörigen Zielproxy trennen.

Wenn der Karte Einträge zugewiesen sind, die Sie löschen möchten, müssen Sie sie manuell löschen, bevor Sie die Karte löschen können. Andernfalls schlägt das Löschen der Karte fehl.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.

API

Löschen Sie die Zertifikatszuordnung. Stellen Sie dazu eine DELETE-Anfrage an die Methode certificateMaps.delete:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_MAP_NAME ist der Name der Zielzertifikatzuordnung.

Nächste Schritte