בדף הזה מוסבר איך להשתמש ב-Certificate Manager כדי ליצור ולנהל אישורי Transport Layer Security (TLS) (לשעבר SSL).
מידע נוסף זמין במאמר בנושא אישורי TLS נתמכים.
יצירת אישור שמנוהל על ידי Google
בעזרת Certificate Manager אפשר ליצור אישורים שמנוהלים על ידי Google בדרכים הבאות:
- אישורים שמנוהלים על ידי Google עם הרשאה של מאזן עומסים (גלובלי)
- אישורים שמנוהלים על ידי Google עם הרשאת DNS (גלובליים, אזוריים וחוצי אזורים)
- אישורים שמנוהלים על ידי Google באמצעות Certificate Authority Service (CA Service) (גלובליים, אזוריים ובין-אזוריים)
הרשאה למאזן עומסים
הרשאה למאזן עומסים מאפשרת לכם לקבל אישור שמנוהל על ידי Google עבור הדומיין שלכם, כשהתנועה מוגשת על ידי מאזן העומסים. בשיטה הזו לא נדרשות רשומות DNS נוספות להקצאת אישורים. אפשר להשתמש בהרשאות של מאזן עומסים בסביבות חדשות שאין בהן תנועה קיימת. במאמר סוגי הרשאות לדומיין לאישורים שמנוהלים על ידי Google מוסבר מתי כדאי להשתמש בהרשאה של מאזן עומסים עם אישור שמנוהל על ידי Google.
אפשר ליצור אישורים שמנוהלים על ידי Google עם הרשאה למאזן עומסים רק במיקום global. אישורים מאושרים של מאזן עומסים לא תומכים בדומיינים עם תו כללי לחיפוש.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, לוחצים על הוספת אישור.
בשדה שם האישור, מזינים שם ייחודי לאישור.
אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.
בקטע מיקום, בוחרים באפשרות גלובלי.
בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:
- ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
- Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
אי אפשר להשתמש בהרשאה של מאזן עומסים עם מיקום אזורי או עם היקף כל האזורים.
בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).
בקטע סוג רשות האישורים, בוחרים באפשרות ציבורי.
בשדה שמות דומיינים, מציינים רשימה של שמות דומיינים של האישור, שמופרדים בפסיקים. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו
myorg.example.com.בקטע סוג הרשאה, בוחרים באפשרות הרשאה של מאזן עומסים.
בשדה Labels (תוויות), מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.
לוחצים על יצירה.
האישור החדש מופיע ברשימת האישורים.
gcloud
כדי ליצור אישור גלובלי שמנוהל על ידי Google עם הרשאה של מאזן עומסים, משתמשים בפקודה certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
[--scope=SCOPE]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAMES: רשימה מופרדת בפסיקים של דומייני היעד. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
Terraform
משתמשים בgoogle_certificate_manager_certificateמשאב.
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
API
כדי ליצור את האישור, שולחים בקשת POST ל-method certificates.create באופן הבא:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"scope": "SCOPE" //optional
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAMES: רשימה מופרדת בפסיקים של דומייני היעד. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
הרשאה ל-DNS
כדי להשתמש באישורים שמנוהלים על ידי Google לפני שסביבת הייצור שלכם מוכנה, אתם יכולים להקצות אותם באמצעות הרשאות DNS. מידע על מקרים שבהם כדאי להשתמש באימות DNS עם אישור דיגיטלי שמנוהל על ידי Google מופיע במאמר סוגי אימות דומיין לאישורים דיגיטליים שמנוהלים על ידי Google.
כדי לנהל אישורים באופן עצמאי בכמה פרויקטים, אפשר להשתמש בהרשאת DNS לכל פרויקט. מידע על יצירת אישורים עם הרשאת DNS לכל פרויקט זמין במאמר יצירת הרשאת DNS.
לפני שיוצרים את האישור, צריך:
- יוצרים הרשאה ל-DNS לכל אחד משמות הדומיין שמכוסים על ידי האישור.
- מוסיפים את רשומת ה-CNAME להגדרות ה-DNS של תת-הדומיין לאימות בתחום ה-DNS של דומיין היעד.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, לוחצים על הוספת אישור.
בשדה שם האישור, מזינים שם ייחודי לאישור.
אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.
בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.
אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.
בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:
- ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
- כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
- Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
השדה היקף לא זמין אם בחרתם מיקום אזורי.
בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).
בקטע סוג רשות האישורים, בוחרים באפשרות ציבורי.
בשדה שמות דומיינים, מציינים רשימה מופרדת בפסיקים של שמות דומיינים של האישור. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו
myorg.example.com. שם הדומיין יכול להיות גם שם דומיין עם תו כללי, כמו*.example.com.בקטע סוג הרשאה, בוחרים באפשרות הרשאת DNS.
בדף מופיעים אישורי ה-DNS של שמות הדומיינים. אם לשם דומיין אין הרשאה משויכת ב-DNS, פועלים לפי השלבים הבאים כדי ליצור אחת:
- לוחצים על יצירת הרשאת DNS חסרה.
- בשדה DNS authorization name (שם הרשאת DNS), מציינים את השם של הרשאת ה-DNS.
סוג ההרשאה של DNS שמוגדר כברירת מחדל הוא
FIXED_RECORD. כדי לנהל אישורים באופן עצמאי בכמה פרויקטים, מסמנים את תיבת הסימון הרשאה לכל פרויקט. - לוחצים על יצירת הרשאת DNS.
בשדה Labels (תוויות), מציינים את התוויות שרוצים לשייך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.
לוחצים על יצירה.
האישור החדש מופיע ברשימת האישורים.
gcloud
כדי ליצור אישור בניהול Google עם הרשאת DNS, מריצים את הפקודה certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAME, *.DOMAIN_NAME" \
--dns-authorizations="AUTHORIZATION_NAMES" \
[--location=LOCATION] \
[--scope=SCOPE]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com, או דומיין עם תו כללי לחיפוש, כמו*.myorg.example.com. הקידומת של כוכבית ונקודה (*.) מציינת תעודת wildcard. -
AUTHORIZATION_NAMES: רשימה מופרדת בפסיקים של שמות הרשאות DNS. -
LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הואglobal. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
Terraform
API
כדי ליצור את האישור, שולחים בקשת POST ל-method certificates.
create באופן הבא:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
"scope": "SCOPE" //optional
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud -
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com. -
ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
הונפק על ידי שירות CA
אתם יכולים לשלב את Certificate Manager עם CA Service כדי להנפיק אישורים שמנוהלים על ידי Google. כדי להנפיק אישורים גלובליים שמנוהלים על ידי Google, צריך להשתמש במאגר אזורי של רשויות אישורים בכל אזור. כדי להנפיק אישורים אזוריים שמנוהלים על ידי Google, צריך להשתמש במאגר רשויות אישורים באותו אזור שבו נמצא האישור.
לפני שיוצרים את האישור, מגדירים את השילוב של שירות CA עם Certificate Manager.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, לוחצים על הוספת אישור.
בשדה שם האישור, מזינים שם ייחודי לאישור.
אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.
בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.
אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.
בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:
- ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
- כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
- Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
השדה היקף לא זמין אם בחרתם מיקום אזורי.
בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).
בשדה Certificate Authority type, בוחרים באפשרות Private.
בשדה שמות דומיינים, מציינים רשימה של שמות דומיינים של האישור, שמופרדים בפסיקים. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו
myorg.example.com.בקטע Select a certificate issuance config (בחירת הגדרת הנפקת אישור), בוחרים את השם של משאב הגדרת הנפקת האישור שמפנה למאגר היעד של רשות האישורים.
בשדה Labels (תוויות), מציינים את התוויות שרוצים לשייך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.
לוחצים על יצירה.
האישור החדש מופיע ברשימת האישורים.
gcloud
כדי ליצור אישור שמנוהל על ידי Google באמצעות Certificate Authority Service, משתמשים בפקודה certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config=ISSUANCE_CONFIG_NAME \
[--location="LOCATION"] \
[--scope=SCOPE]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com, או דומיין עם תו כללי לחיפוש, כמו*.myorg.example.com. הקידומת של כוכבית ונקודה (*.) מציינת תעודת wildcard. -
ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים. -
LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הואglobal. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
API
כדי ליצור את האישור, שולחים בקשת POST ל-method certificates.create באופן הבא:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
"scope": "SCOPE" //optional
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud -
CERTIFICATE_NAME: שם האישור. -
DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמוmyorg.example.com. -
ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
העלאת אישור בניהול עצמי
כדי להעלות אישור בניהול עצמי, מעלים את קובץ האישור (CRT) ואת קובץ המפתח הפרטי (KEY) התואם. אפשר להעלות אישורי TLS (SSL) מסוג X.509 גלובליים ואזוריים מהסוגים הבאים:
- אישורים שנוצרו על ידי רשויות אישורים (CA) של צד שלישי לפי בחירתכם.
- אישורים שנוצרו על ידי רשויות אישורים שאתם שולטים בהן.
- אישורים עם חתימה עצמית, כמו שמתואר במאמר יצירת מפתח פרטי ואישור.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, לוחצים על הוספת אישור.
בשדה שם האישור, מזינים שם ייחודי לאישור.
אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.
בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.
אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.
בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:
- ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
- כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
- Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
השדה היקף לא זמין אם בחרתם מיקום אזורי.
בשביל Certificate type, בוחרים Create self-managed certificate.
בשדה Certificate, מבצעים אחת מהפעולות הבאות:
- לוחצים על הלחצן העלאה ובוחרים את קובץ האישור בפורמט PEM.
- מעתיקים ומדביקים את התוכן של אישור בפורמט PEM. התוכן חייב להתחיל ב-
-----BEGIN CERTIFICATE-----ולהסתיים ב------END CERTIFICATE-----.
בשדה Private key certificate, מבצעים אחת מהפעולות הבאות:
- לוחצים על הלחצן העלאה ובוחרים את המפתח הפרטי. המפתח הפרטי צריך להיות בפורמט PEM ולא מוגן באמצעות סיסמה.
- מעתיקים ומדביקים את התוכן של מפתח פרטי בפורמט PEM. המפתחות הפרטיים צריכים להתחיל ב-
-----BEGIN PRIVATE KEY-----ולהסתיים ב------END PRIVATE KEY-----.
בשדה Labels (תוויות), מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.
לוחצים על יצירה.
האישור החדש מופיע ברשימת האישורים.
gcloud
כדי ליצור אישור בניהול עצמי, משתמשים בפקודה certificate-manager certificates create:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
[--location="LOCATION"] \
[--scope=SCOPE]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
CERTIFICATE_FILE: הנתיב ושם הקובץ של אישור ה-CRT. -
PRIVATE_KEY_FILE: הנתיב ושם הקובץ של קובץ המפתח הפרטי של KEY. -
LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הואglobal. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
Terraform
כדי להעלות אישור בניהול עצמי, אפשר להשתמש במשאב google_certificate_manager_certificate עם הבלוק self_managed.
API
כדי להעלות את האישור, צריך לשלוח בקשת POST ל-method certificates.create באופן הבא:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
scope: SCOPE
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud -
CERTIFICATE_NAME: שם האישור. -
PEM_CERTIFICATE: אישור ה-PEM. -
PEM_KEY: מפתח ה-PEM. -
SCOPE: מזינים אחת מהאפשרויות הבאות:-
default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy. -
all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים. -
edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.
-
עדכון אישור
אפשר לעדכן אישור קיים בלי לשנות את ההקצאות שלו לשמות דומיין במפת האישורים המתאימה. כשמעדכנים אישור, חשוב לוודא ששמות ה-SAN באישור החדש זהים בדיוק לשמות ה-SAN באישור הקיים.
אישורים שמנוהלים על ידי Google
באישורים שמנוהלים על ידי Google, אפשר לעדכן רק את התיאור והתוויות של האישור.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, מאתרים את האישור שרוצים לעדכן ולוחצים על השם שלו. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.
לוחצים על Edit. יופיע הדף עריכת האישור.
אופציונלי: בשדה Description, מזינים תיאור חדש של האישור.
אופציונלי: אפשר להוסיף, להסיר או לשנות את התוויות שמשויכות לאישור. כדי להוסיף תווית, לוחצים על הלחצן Add label ומציינים
keyו-valueבשביל התווית.לוחצים על Save. בדף פרטי האישור שמופיע, מוודאים שהאישור עודכן.
gcloud
כדי לעדכן אישור שמנוהל על ידי Google, משתמשים בפקודה certificate-manager certificates update:
gcloud certificate-manager certificates update CERTIFICATE_NAME \
[--description="DESCRIPTION"] \
[--update-labels="LABELS"]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
DESCRIPTION: תיאור ייחודי של האישור. -
LABELS: רשימה מופרדת בפסיקים של תוויות שחלות על האישור הזה.
API
כדי לעדכן את האישור, שולחים בקשת PATCH ל-method certificates.patch באופן הבא:
PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
CERTIFICATE_NAME: שם האישור. -
DESCRIPTION: תיאור של האישור. -
LABEL_KEY: מפתח תווית שהוחל על האישור. -
LABEL_VALUE: ערך תווית שמוחל על האישור.
אישורים בניהול עצמי
כדי לעדכן אישור בניהול עצמי, צריך להעלות את הקבצים הבאים בקידוד PEM:
- קובץ ה-CRT של האישור
קובץ המפתח הפרטי התואם
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, מאתרים את האישור שרוצים לעדכן ולוחצים על השם שלו. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.
לוחצים על Edit. יופיע הדף עריכת האישור.
אופציונלי: בשדה Description, מזינים תיאור חדש של האישור.
אופציונלי: בשדה Certificate, מבצעים אחת מהפעולות הבאות:
- לוחצים על הלחצן העלאה ובוחרים את קובץ האישור בפורמט PEM.
- מעתיקים ומדביקים את התוכן של אישור בפורמט PEM. התוכן חייב להתחיל ב-
-----BEGIN CERTIFICATE-----ולהסתיים ב------END CERTIFICATE-----.
אופציונלי: בשדה Private key certificate (אישור מפתח פרטי), מבצעים אחת מהפעולות הבאות:
- לוחצים על הלחצן העלאה ובוחרים את המפתח הפרטי. המפתח הפרטי צריך להיות בפורמט PEM ולא להיות מוגן באמצעות ביטוי סיסמה.
- מעתיקים ומדביקים את התוכן של מפתח פרטי בפורמט PEM. המפתחות הפרטיים צריכים להתחיל ב-
-----BEGIN PRIVATE KEY-----ולהסתיים ב------END PRIVATE KEY-----.
אופציונלי: אפשר להוסיף, להסיר או לשנות את התוויות שמשויכות לאישור. כדי להוסיף תווית, לוחצים על הלחצן Add label ומציינים
keyו-valueבשביל התווית.לוחצים על Save. בדף פרטי האישור שמופיע, מוודאים שהאישור עודכן.
gcloud
כדי לעדכן אישור בניהול עצמי, משתמשים בפקודה certificate-manager
certificates update:
gcloud certificate-manager certificates update CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--description="DESCRIPTION" \
--update-labels="LABELS" \
[--location="LOCATION"]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
CERTIFICATE_FILE: הנתיב ושם הקובץ של אישור ה-CRT. -
PRIVATE_KEY_FILE: הנתיב ושם הקובץ של קובץ המפתח הפרטי של KEY. -
DESCRIPTION: ערך תיאור ייחודי של האישור. -
LABELS: רשימה מופרדת בפסיקים של תוויות שחלות על האישור הזה. -
LOCATION: מיקום היעד. Google Cloud הדגל הזה הוא אופציונלי. הדגל הזה מיועד רק לאישורים אזוריים.
API
כדי לעדכן את האישור, שולחים בקשת PATCH ל-method certificates.patch באופן הבא:
PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
self_managed: { // Self-managed certificates only
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud הדגל הזה הוא אופציונלי. הדגל הזה מיועד רק לאישורים אזוריים. -
CERTIFICATE_NAME: שם האישור. -
PEM_CERTIFICATE: אישור ה-PEM. -
PEM_KEY: מפתח ה-PEM. -
DESCRIPTION: תיאור משמעותי של האישור. -
LABEL_KEY: מפתח תווית שהוחל על האישור. -
LABEL_VALUE: ערך תווית שמוחל על האישור.
הצגת רשימת אישורים
אתם יכולים לראות את כל האישורים בפרויקט ואת הפרטים שלהם, כמו אזור, שמות מארחים, תאריך תפוגה וסוג.
המסוף
בדף Certificate Manager במסוף Google Cloud אפשר להציג עד 10,000 אישורים. אם הפרויקט מכיל יותר מ-10,000 אישורים שמנוהלים על ידי Certificate Manager, צריך להשתמש בפקודת ה-CLI של gcloud.
כדי לראות את האישורים שהוקצו על ידי Certificate Manager:
נכנסים לדף Certificate Manager במסוף Google Cloud .
לוחצים על הכרטיסייה Certificates (אישורים). בכרטיסייה הזו מופיעים כל האישורים שמנוהלים על ידי Certificate Manager בפרויקט שנבחר.
כדי לראות את האישורים שהוקצו דרך Cloud Load Balancing:
במסוף Google Cloud , עוברים לכרטיסייה Classic Certificates בדף Certificate Manager.
בכרטיסייה Classic Certificates (אישורים קלאסיים), אפשר לראות רשימה של כל האישורים הקלאסיים שהוגדרו בפרויקט שנבחר.
אישורים קלאסיים לא מנוהלים על ידי Certificate Manager. למידע נוסף על אופן הניהול שלהם, אפשר לעיין במסמכים בנושא שימוש באישורים בניהול Google או שימוש באישורים בניהול עצמי.
gcloud
כדי לראות את רשימת האישורים, משתמשים בפקודה certificate-manager certificates list:
gcloud certificate-manager certificates list \
[--location="LOCATION"] \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
מחליפים את מה שכתוב בשדות הבאים:
-
LOCATION: מיקום היעד. Google Cloud כדי להציג רשימה של אישורים מכל האזורים, משתמשים בערך-. ערך ברירת המחדל הוא-. הדגל הזה הוא אופציונלי.
FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.לדוגמה, אפשר לסנן את התוצאות לפי הקריטריונים הבאים:
- שעת תפוגה:
--filter='expire_time >= "2021-09-01T00:00:00Z"' - שמות DNS של SAN:
--filter='san_dnsnames:"example.com"' - מצב האישור:
--filter='managed.state=FAILED' - סוג האישור:
--filter='managed:*' - תוויות וזמן יצירה:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager מופיעות במאמר מיון וסינון של תוצאות רשימה במסמכי התיעוד של Cloud Key Management Service.
- שעת תפוגה:
PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף
LIMIT: המספר המקסימלי של התוצאות שרוצים להחזיר
SORT_BY: רשימה מופרדת בפסיקים שלnameשדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.
API
כדי להציג את רשימת האישורים, שולחים בקשת LIST ל-method certificates.list באופן הבא:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud כדי להציג רשימה של אישורים מכל האזורים, משתמשים ב--כערך.
FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.לדוגמה, אפשר לסנן את התוצאות לפי הקריטריונים הבאים:
- שעת תפוגה:
--filter='expire_time >= "2021-09-01T00:00:00Z"' - שמות DNS של SAN:
--filter='san_dnsnames:"example.com"' - מצב האישור:
--filter='managed.state=FAILED' - סוג האישור:
--filter='managed:*' תוויות וזמן יצירה:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager זמינות במאמר מיון וסינון של תוצאות הרשימה במסמכי Cloud Key Management Service.
- שעת תפוגה:
PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף
SORT_BY: רשימה מופרדת בפסיקים שלnameשדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.
הצגת המצב של אישור
אתם יכולים לראות את המצב של אישור קיים, כולל מצב ההקצאה שלו ומידע מפורט אחר.
המסוף
אם הפרויקט מכיל יותר מ-10,000 אישורים שמנוהלים על ידי Certificate Manager, הם לא יופיעו בדף Certificate Manager במסוףGoogle Cloud . במקום זאת, משתמשים בפקודה של ה-CLI של gcloud. עם זאת, אם יש לכם קישור ישיר לדף Details של האישור, תוכלו לראות את הפרטים שלו במסוף Google Cloud .
נכנסים לדף Certificate Manager במסוף Google Cloud .
בדף שמופיע, בוחרים בכרטיסייה אישורים.
בכרטיסייה אישורים, עוברים לאישור הרצוי ולוחצים על שם האישור. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.
אופציונלי: כדי לראות את תגובת ה-REST מ-Certificate Manager API לגבי האישור הזה, לוחצים על Equivalent REST.
אופציונלי: אם לאישור יש הגדרת הנפקה משויכת שרוצים להציג, בשדה Issuance config לוחצים על השם של משאב הגדרת ההנפקה המשויך. Google Cloud במסוף מוצגת ההגדרה המלאה של הגדרת הנפקת האישור.
gcloud
כדי לראות את הסטטוס של אישור, משתמשים בפקודה certificate-manager
certificates describe:
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
[--location="LOCATION"]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
LOCATION: מיקום היעד. Google Cloud מיקום ברירת המחדל הואglobal. הדגל הזה הוא אופציונלי.
API
כדי לראות את סטטוס האישור, שולחים בקשת GET ל-method certificates.get באופן הבא:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud -
CERTIFICATE_NAME: שם האישור.
מחיקת אישור
לפני שמוחקים אישור, צריך להסיר אותו מכל הרשומות במפת האישורים שמפנות אליו. אחרת, המחיקה תיכשל. מידע נוסף זמין במאמר מחיקת רשומה במפת אישורים.
המסוף
נכנסים לדף Certificate Manager במסוף Google Cloud .
בכרטיסייה אישורים, מסמנים את תיבת הסימון של האישור שרוצים למחוק.
לוחצים על Delete.
בתיבת הדו-שיח שמופיעה, לוחצים על מחיקה כדי לאשר.
gcloud
כדי למחוק אישור, משתמשים בפקודה certificate-manager certificates delete:
gcloud certificate-manager certificates delete CERTIFICATE_NAME \
[--location="LOCATION"]
מחליפים את מה שכתוב בשדות הבאים:
-
CERTIFICATE_NAME: שם האישור. -
LOCATION: מיקום היעד. Google Cloud מיקום ברירת המחדל הואglobal. הדגל הזה הוא אופציונלי.
API
כדי למחוק את האישור, שולחים בקשת DELETE ל-method certificates.delete באופן הבא:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט ב- Google Cloud . -
LOCATION: מיקום היעד. Google Cloud -
CERTIFICATE_NAME: שם האישור.
המאמרים הבאים
- ניהול מיפוי אישורים
- ניהול רשומות של מיפוי אישורים
- ניהול הרשאות DNS
- ניהול משאבים של הגדרת הנפקת אישורים