Gérer les mappages de certificats

Cette page explique comment créer et gérer des mappages de certificats.

Pour en savoir plus sur les mappages de certificats, consultez la page Fonctionnement du gestionnaire de certificats.

Pour savoir comment déployer un certificat avec le gestionnaire de certificats, consultez la section Présentation du déploiement.

Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez la documentation de référence de la CLI Certificate Manager.

Créer un mappage de certificat

Pour créer un mappage de certificat, procédez comme indiqué dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est un nom unique qui décrit ce mappage de certificat.

Terraform

Pour créer un mappage de certificat, vous pouvez utiliser une ressource google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

API

Créez le mappage de certificat en envoyant une requête POST à la méthode certificateMaps.create comme suit:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est un nom unique qui décrit ce mappage de certificat.

Associer un mappage de certificat à un proxy

Après avoir créé un mappage de certificat et lui avoir ajouté des entrées de mappage de certificats correctement configurées, vous devez l'associer au proxy souhaité. Le gestionnaire de certificats est compatible avec les proxys HTTPS cibles et les proxys SSL cibles. Pour en savoir plus sur les différences entre ces types de proxys, consultez la section Utiliser des proxys cibles.

Si des certificats TLS (SSL) sont déjà associés directement au proxy, celui-ci donne la priorité aux certificats référencés par le mappage de certificats par rapport aux certificats TLS (SSL) directement associés.

Pour effectuer cette tâche, vous devez disposer du rôle Éditeur sur le projet Google Cloud cible.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Remplacez les éléments suivants :

  • PROXY_TYPE est le type du proxy cible. Les types compatibles sont les suivants :
    • Pour les proxys HTTP cibles, utilisez target-https-proxies.
    • Pour les proxys SSL cibles, utilisez target-ssl-proxies.
  • PROXY_NAME est le nom du proxy cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat contenant une ou plusieurs entrées de mappage de certificats faisant référence aux certificats souhaités.

API

Pour associer le mappage de certificat, envoyez une requête POST à la méthode targetHttpsProxies ou targetSslProxies comme suit:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • PROXY_TYPE est le type du proxy cible. Les types compatibles sont les suivants :
    • Pour les proxys HTTP cibles, utilisez targetHttpsProxies.
    • Pour les proxys SSL cibles, utilisez targetSslProxies.
  • PROXY_NAME est le nom du proxy cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificats contenant des entrées de mappage de certificats qui font référence aux certificats cibles.

Dissocier un mappage de certificat d'un proxy

Pour dissocier un mappage de certificat d'un proxy, procédez comme indiqué dans cette section.

Tenez bien compte des éléments suivants :

  • Si des certificats TLS (SSL) sont associés directement au proxy, la dissociation du mappage de certificat entraîne la réactivation du proxy pour l'utilisation de ces certificats TLS (SSL) directement associés.
  • Si aucun certificat TLS (SSL) n'est associé directement au proxy, le mappage de certificat ne peut pas être dissocié du proxy. Vous devez d'abord associer au moins un certificat TLS (SSL) directement au proxy avant de pouvoir dissocier le mappage de certificats.

Pour effectuer cette tâche, vous devez disposer du rôle Administrateur de l'équilibreur de charge Compute sur le projet Google Cloud cible.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Remplacez les éléments suivants :

  • PROXY_TYPE est le type du proxy cible. Les types compatibles sont les suivants :
    • Pour les proxys HTTP cibles, utilisez target-https-proxies.
    • Pour les proxys SSL cibles, utilisez target-ssl-proxies.
  • PROXY_NAME est le nom du proxy cible.

API

Dissociez le mappage de certificat en envoyant une requête POST à la méthode targetHttpsProxies ou targetSslProxies avec une valeur certificateMap vide, comme suit:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • PROXY_TYPE est le type du proxy cible. Les types compatibles sont les suivants :
    • Pour les proxys HTTP cibles, utilisez targetHttpsProxies.
    • Pour les proxys SSL cibles, utilisez targetSslProxies.
  • PROXY_NAME est le nom du proxy cible.

Mettre à jour un mappage de certificat

Pour mettre à jour la description d'un mappage de certificat, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.
  • DESCRIPTION est la nouvelle description de ce mappage de certificat.
  • LABELS est une liste de libellés appliqués à ce mappage de certificats, séparés par une virgule.

API

Mettez à jour le mappage de certificat en envoyant une requête PATCH à la méthode certificateMaps.patch comme suit:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.
  • DESCRIPTION est la nouvelle description de ce mappage de certificat.
  • LABEL_KEY est une clé de libellé appliquée à ce mappage de certificat.
  • LABEL_VALUE est une valeur de libellé appliquée à ce mappage de certificat.

Répertorier les mappages de certificats

Pour répertorier les mappages de certificats actuellement configurés, suivez la procédure décrite dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • FILTER est une expression qui limite les résultats renvoyés à des valeurs spécifiques. Par exemple, vous pouvez filtrer les résultats en fonction des critères suivants:

    • Étiquettes et date et heure de création: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour plus d'exemples de filtrage utilisables avec le gestionnaire de certificats, consultez la section Trier et filtrer les résultats d'une liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE est le nombre de résultats à renvoyer par page.

  • LIMIT est le nombre maximal de résultats à renvoyer.

  • SORT_BY est une liste de champs name séparés par une virgule en fonction de laquelle les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez le préfixe ~ au champ souhaité.

API

Pour répertorier les mappages de certificats configurés, envoyez une requête LIST à la méthode certificateMaps.list comme suit:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • FILTER est une expression qui limite les résultats renvoyés à des valeurs spécifiques.
  • PAGE_SIZE est le nombre de résultats à renvoyer par page.
  • SORT_BY est une liste de noms de champs séparés par une virgule en fonction desquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez le préfixe ~ au champ souhaité.

Afficher l'état d'un mappage de certificat

Pour afficher l'état d'un mappage de certificat, suivez les étapes décrites dans cette section.

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible:

  • Lecteur du gestionnaire de certificats
  • Éditeur du gestionnaire de certificats
  • Propriétaire du gestionnaire de certificats

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

API

Affichez l'état du mappage de certificat en envoyant une requête GET à la méthode certificateMaps.get comme suit:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

Supprimer un mappage de certificat

Pour supprimer un mappage de certificat, suivez la procédure décrite dans cette section. Avant de supprimer un mappage de certificat, vous devez d'abord le dissocier de son proxy cible.

Si des entrées de mappage de certificat sont attribuées à la carte que vous souhaitez supprimer, vous devez les supprimer manuellement avant de pouvoir supprimer la carte. Sinon, sa suppression échouera.

Pour effectuer cette tâche, vous devez disposer du rôle de propriétaire du gestionnaire de certificats sur le projet Google Cloud cible.

Pour en savoir plus, consultez la section Rôles et autorisations.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

API

Supprimez le mappage de certificat en envoyant une requête DELETE à la méthode certificateMaps.delete comme suit:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Remplacez les éléments suivants :

  • PROJECT_ID est l'ID du projet Google Cloud cible.
  • CERTIFICATE_MAP_NAME est le nom du mappage de certificat cible.

Étapes suivantes