Gerenciar mapas de certificados

Nesta página, descrevemos como criar e gerenciar mapas de certificados.

Para mais informações sobre mapas de certificados, consulte Como o Gerenciador de certificados funciona.

Para saber como implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar um CertificateMap

Para criar um mapa de certificado, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve esse mapa de certificado.

Terraform

Para criar um mapa de certificado, use um recurso google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o mapa de certificado fazendo uma solicitação POST para o método certificateMaps.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve esse mapa de certificado.

Anexar um mapa de certificado a um proxy

Depois de criar um mapa de certificado e preenchê-lo com entradas de mapa de certificado configuradas corretamente, é preciso anexá-lo ao proxy desejado. O Gerenciador de certificados dá suporte a proxies HTTPS e SSL de destino. Para mais informações sobre as diferenças entre esses tipos de proxy, consulte Uso de proxies de destino.

Se houver certificados TLS (SSL) anexados diretamente ao proxy, o proxy vai dar preferência aos certificados referenciados pelo mapa de certificados em relação aos certificados TLS (SSL) anexados diretamente.

Para concluir esta tarefa, é preciso ter papel de Editor no projeto de destino do Google Cloud.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado que contém uma ou mais entradas que fazem referência aos certificados desejados.

API

Anexe o mapa de certificado fazendo uma solicitação POST ao método targetHttpsProxies ou targetSslProxies da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado que contém as entradas de mapa de certificado que referenciam os certificados de destino.

Remover um mapa de certificado de um proxy

Para remover um mapa de certificado de um proxy, conclua as etapas nesta seção.

Lembre-se:

  • Se houver algum certificado TLS (SSL) anexado diretamente ao proxy, a remoção do mapa de certificados fará com que o proxy retome o uso dos certificados TLS (SSL) anexados diretamente.
  • Se não houver certificados TLS (SSL) anexados diretamente ao proxy, o mapa de certificado não poderá ser removido do proxy. Primeiro, anexe pelo menos um certificado TLS (SSL) diretamente ao proxy antes de remover o mapa de certificado.

Para concluir esta tarefa, é preciso ter o papel Administrador do balanceador de carga do Compute no projeto de destino do Google Cloud.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.

API

Remova o mapa de certificado fazendo uma solicitação POST ao método targetHttpsProxies ou targetSslProxies com um valor certificateMap vazio da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.

Atualizar um mapa de certificado

Para atualizar a descrição de um mapa de certificados, conclua as etapas nesta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição deste mapa de certificado.
  • LABELS é uma lista separada por vírgulas de marcadores aplicados a este mapa de certificado.

API

Atualize o mapa de certificado fazendo uma solicitação PATCH para o método certificateMaps.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição deste mapa de certificado.
  • LABEL_KEY é uma chave de rótulo aplicada a este mapa de certificado.
  • LABEL_VALUE é um valor de rótulo aplicado a este mapa de certificado.

Listar mapas de certificados

Para listar os mapas de certificados configurados, siga as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • FILTER é uma expressão que restringe os resultados retornados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados a serem retornados por página;

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista delimitada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira ~ como prefixo do campo desejado.

API

Liste os mapas de certificado configurados fazendo uma solicitação LIST para o método certificateMaps.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • FILTER é uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE é o número de resultados a serem retornados por página;
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para ordem decrescente, insira ~ como prefixo do campo desejado.

Visualizar o estado de um mapa de certificado

Para conferir o estado de um mapa de certificado, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Para conferir o estado do mapa de certificado, faça uma solicitação GET ao método certificateMaps.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

Excluir um mapa de certificado

Para excluir um mapa de certificado, conclua as etapas nesta seção. Antes de excluir um mapa de certificado, é necessário desconectá-lo do proxy de destino.

Se houver entradas de certificado atribuídas ao mapa que você quer excluir, exclua-as manualmente antes de excluir o mapa. Caso contrário, a exclusão falhará.

Para concluir essa tarefa, é preciso ter o papel de Proprietário do Gerenciador de certificados no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Exclua o mapa de certificado fazendo uma solicitação DELETE para o método certificateMaps.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

A seguir