Zertifikatzuordnungen verwalten

Eine Zertifikatszuordnung verweist auf einen oder mehrere Zertifikatszuordnungseinträge, die bestimmte Zertifikate bestimmten Hostnamen zuweisen. Auf dieser Seite wird beschrieben, wie Sie Zertifikatszuordnungen erstellen und verwalten.

Weitere Informationen finden Sie unter Zertifikatszuordnungen.

Sie erstellen eine Zertifikatszuordnung, um auf den Eintrag in der Zertifikatszuordnung zu verweisen, der mit Ihrem Zertifikat verknüpft ist.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps create, um eine Zertifikatzuordnung zu erstellen:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Senden Sie zum Erstellen einer Zertifikatzuordnung eine POST-Anfrage an die Methode certificateMaps.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Zum Erstellen einer Zertifikatzuordnung können Sie eine google_certificate_manager_certificate_map-Ressource verwenden.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Zertifikatszuordnung an einen Proxy anhängen

Nachdem Sie eine Zertifikatszuordnung mit Einträgen für die Zertifikatszuordnung erstellt und konfiguriert haben, hängen Sie die Zertifikatszuordnung an den Zielproxy an. Der Zertifikatmanager unterstützt sowohl HTTPS- als auch SSL-Zielproxys mit globalem Umfang. Weitere Informationen zu den Unterschieden zwischen diesen Proxytypen finden Sie unter Zielproxys verwenden.

Wenn Sie dem Zielproxy ein TLS- (SSL-)Zertifikat und auch Zertifikate über eine Zertifikatszuordnung anhängen, verwendet der Proxy die in der Zertifikatszuordnung referenzierten Zertifikate und ignoriert das direkt angehängte Zertifikat.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud compute target-https-proxies update, um die Zertifikatzuordnung an den Ziel-HTTPS-Proxy anzuhängen:

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Verwenden Sie den Befehl gcloud compute target-ssl-proxies update, um die Zertifikatzuordnung an den Ziel-SSL-Proxy anzuhängen:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Ersetzen Sie Folgendes:

  • PROXY_NAME: der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, die Einträge enthält, die auf die Zielzertifikate verweisen.

Wenn Sie die Zertifikatzuordnung an den Ziel-HTTPS-Proxy anhängen möchten, senden Sie eine POST-Anfrage an die targetHttpsProxies-Methode:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Wenn Sie die Zertifikatzuordnung an den Ziel-SSL-Proxy anhängen möchten, senden Sie eine POST-Anfrage an die targetSslProxies-Methode:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • PROXY_NAME: der Name des Zielproxys.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung, die Einträge enthält, die auf die Zielzertifikate verweisen.

Zertifikatszuordnung von einem Proxy trennen

Beachten Sie Folgendes, bevor Sie eine Zertifikatzuordnung von einem Proxy trennen:

  • Wenn TLS-Zertifikate (SSL) direkt mit dem Proxy verknüpft sind, wird die Verwendung der Zertifikate durch das Entfernen der Zertifikatzuordnung fortgesetzt.

  • Wenn keine TLS- (SSL-)Zertifikate direkt mit dem Proxy verknüpft sind, kann die Zertifikatzuordnung nicht getrennt werden. Hängen Sie mindestens ein TLS-Zertifikat direkt an den Proxy an, bevor Sie die Zertifikatszuordnung trennen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Administrator für Compute-Load-Balancer“ (roles/compute.loadBalancerAdmin)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud compute target-https-proxies update, um alle angehängten Zertifikatzuordnungen vom Ziel-HTTPS-Proxy zu lösen:

gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

Verwenden Sie den Befehl gcloud compute target-ssl-proxies update, um alle angehängten Zertifikatzuordnungen vom Ziel-SSL-Proxy zu lösen:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --clear-certificate-map

Ersetzen Sie Folgendes:

  • PROXY_NAME: der Name des Zielproxys.

Wenn Sie eine angehängte Zertifikatzuordnung vom Ziel-HTTPS-Proxy trennen möchten, senden Sie eine POST-Anfrage an die targetHttpsProxies-Methode:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Wenn Sie eine angehängte Zertifikatzuordnung vom Ziel-SSL-Proxy trennen möchten, senden Sie eine POST-Anfrage an die targetSslProxies-Methode:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • PROXY_NAME: der Name des Zielproxys.

Zertifikatszuordnung aktualisieren

Sie können die Beschreibung und die Labels einer Zertifikatskarte aktualisieren.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps update, um eine Zertifikatzuordnung zu aktualisieren:

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.
  • DESCRIPTION: die neue Beschreibung für diese Zertifikatszuordnung.
  • LABELS: eine durch Kommas getrennte Liste von Labels, die auf diese Zertifikatzuordnung angewendet werden.

Wenn Sie die Zertifikatzuordnung aktualisieren möchten, senden Sie eine PATCH-Anfrage an die Methode certificateMaps.patch:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.
  • DESCRIPTION: die neue Beschreibung für diese Zertifikatszuordnung.
  • LABEL_KEY: Labelschlüssel, der auf diese Zertifikatzuordnung angewendet wird.
  • LABEL_VALUE: ein Label, das auf diese Zertifikatszuordnung angewendet wird.

Zertifikatszuordnungen auflisten

Sie können alle konfigurierten Zertifikatzuordnungen des Projekts auflisten, filtern und sortieren.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)
  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps list, um Zertifikatzuordnungen aufzulisten:

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Wenn Sie konfigurierte Zertifikatzuordnungen auflisten möchten, senden Sie eine LIST-Anfrage an die Methode certificateMaps.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Details einer Zertifikatskarte ansehen

Sie können sich die Details einer vorhandenen Zertifikatzuordnung ansehen, z. B. das Erstellungsdatum und die Uhrzeit der letzten Aktualisierung.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)
  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps describe, um den Status einer Zertifikatszuordnung aufzurufen:

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Wenn Sie die Details der Zertifikatszuordnung aufrufen möchten, senden Sie eine GET-Anfrage an die Methode certificateMaps.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Zertifikatzuordnung löschen

Bevor Sie eine Zertifikatzuordnung löschen, gehen Sie so vor:

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Verwenden Sie den Befehl gcloud certificate-manager maps delete, um eine Zertifikatzuordnung zu löschen:

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Wenn Sie die Zertifikatzuordnung löschen möchten, senden Sie eine DELETE-Anfrage an die Methode certificateMaps.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_MAP_NAME: der Name der Zertifikatszuordnung.

Nächste Schritte