ניהול אישורים

בדף הזה מוסבר איך להשתמש ב-Certificate Manager כדי ליצור ולנהל אישורי Transport Layer Security ‏ (TLS) (לשעבר SSL).

מידע נוסף זמין במאמר בנושא אישורי TLS נתמכים.

יצירת אישור שמנוהל על ידי Google

בעזרת Certificate Manager אפשר ליצור אישורים שמנוהלים על ידי Google בדרכים הבאות:

  • אישורים שמנוהלים על ידי Google עם הרשאה של מאזן עומסים (גלובלי)
  • אישורים שמנוהלים על ידי Google עם הרשאת DNS (גלובליים, אזוריים וחוצי אזורים)
  • אישורים שמנוהלים על ידי Google באמצעות Certificate Authority Service (CA Service) (גלובליים, אזוריים ובין-אזוריים)

הרשאה למאזן עומסים

הרשאה למאזן עומסים מאפשרת לכם לקבל אישור שמנוהל על ידי Google עבור הדומיין שלכם, כשהתנועה מוגשת על ידי מאזן העומסים. בשיטה הזו לא נדרשות רשומות DNS נוספות להקצאת אישורים. אפשר להשתמש בהרשאות של מאזן עומסים בסביבות חדשות שאין בהן תנועה קיימת. במאמר סוגי הרשאות לדומיין לאישורים שמנוהלים על ידי Google מוסבר מתי כדאי להשתמש בהרשאה של מאזן עומסים עם אישור שמנוהל על ידי Google.

אפשר ליצור אישורים שמנוהלים על ידי Google עם הרשאה למאזן עומסים רק במיקום global. אישורים מאושרים של מאזן עומסים לא תומכים בדומיינים עם תו כללי לחיפוש.

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, לוחצים על הוספת אישור.

  3. בשדה שם האישור, מזינים שם ייחודי לאישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.

  5. בקטע מיקום, בוחרים באפשרות גלובלי.

  6. בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:

    • ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

    אי אפשר להשתמש בהרשאה של מאזן עומסים עם מיקום אזורי או עם היקף כל האזורים.

  7. בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).

  8. בקטע סוג רשות האישורים, בוחרים באפשרות ציבורי.

  9. בשדה שמות דומיינים, מציינים רשימה של שמות דומיינים של האישור, שמופרדים בפסיקים. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.

  10. בקטע סוג הרשאה, בוחרים באפשרות הרשאה של מאזן עומסים.

  11. בשדה Labels (תוויות), מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  12. לוחצים על יצירה.

    האישור החדש מופיע ברשימת האישורים.

gcloud

כדי ליצור אישור גלובלי שמנוהל על ידי Google עם הרשאה של מאזן עומסים, משתמשים בפקודה certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAMES: רשימה מופרדת בפסיקים של דומייני היעד. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

Terraform

משתמשים בgoogle_certificate_manager_certificateמשאב.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

API

כדי ליצור את האישור, שולחים בקשת POST ל-method‏ certificates.create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAMES: רשימה מופרדת בפסיקים של דומייני היעד. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

הרשאה ל-DNS

כדי להשתמש באישורים שמנוהלים על ידי Google לפני שסביבת הייצור שלכם מוכנה, אתם יכולים להקצות אותם באמצעות הרשאות DNS. מידע על מקרים שבהם כדאי להשתמש באימות DNS עם אישור דיגיטלי שמנוהל על ידי Google מופיע במאמר סוגי אימות דומיין לאישורים דיגיטליים שמנוהלים על ידי Google.

כדי לנהל אישורים באופן עצמאי בכמה פרויקטים, אפשר להשתמש בהרשאת DNS לכל פרויקט. מידע על יצירת אישורים עם הרשאת DNS לכל פרויקט זמין במאמר יצירת הרשאת DNS.

לפני שיוצרים את האישור, צריך:

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, לוחצים על הוספת אישור.

  3. בשדה שם האישור, מזינים שם ייחודי לאישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.

  5. בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.

    אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.

  6. בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:

    • ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
    • Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

    השדה היקף לא זמין אם בחרתם מיקום אזורי.

  7. בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).

  8. בקטע סוג רשות האישורים, בוחרים באפשרות ציבורי.

  9. בשדה שמות דומיינים, מציינים רשימה מופרדת בפסיקים של שמות דומיינים של האישור. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com. שם הדומיין יכול להיות גם שם דומיין עם תו כללי, כמו *.example.com.

  10. בקטע סוג הרשאה, בוחרים באפשרות הרשאת DNS.

    בדף מופיעים אישורי ה-DNS של שמות הדומיינים. אם לשם דומיין אין הרשאה משויכת ב-DNS, פועלים לפי השלבים הבאים כדי ליצור אחת:

    1. לוחצים על יצירת הרשאת DNS חסרה.
    2. בשדה DNS authorization name (שם הרשאת DNS), מציינים את השם של הרשאת ה-DNS. סוג ההרשאה של DNS שמוגדר כברירת מחדל הוא FIXED_RECORD. כדי לנהל אישורים באופן עצמאי בכמה פרויקטים, מסמנים את תיבת הסימון הרשאה לכל פרויקט.
    3. לוחצים על יצירת הרשאת DNS.
  11. בשדה Labels (תוויות), מציינים את התוויות שרוצים לשייך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  12. לוחצים על יצירה.

    האישור החדש מופיע ברשימת האישורים.

gcloud

כדי ליצור אישור בניהול Google עם הרשאת DNS, מריצים את הפקודה certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com, או דומיין עם תו כללי לחיפוש, כמו *.myorg.example.com. הקידומת של כוכבית ונקודה (*.) מציינת תעודת wildcard.
  • AUTHORIZATION_NAMES: רשימה מופרדת בפסיקים של שמות הרשאות DNS.
  • LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הוא global.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

Terraform

משתמשים במשאב google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

כדי ליצור את האישור, שולחים בקשת POST ל-method‏ certificates. create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

הונפק על ידי שירות CA

אתם יכולים לשלב את Certificate Manager עם CA Service כדי להנפיק אישורים שמנוהלים על ידי Google. כדי להנפיק אישורים גלובליים שמנוהלים על ידי Google, צריך להשתמש במאגר אזורי של רשויות אישורים בכל אזור. כדי להנפיק אישורים אזוריים שמנוהלים על ידי Google, צריך להשתמש במאגר רשויות אישורים באותו אזור שבו נמצא האישור.

לפני שיוצרים את האישור, מגדירים את השילוב של שירות CA עם Certificate Manager.

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, לוחצים על הוספת אישור.

  3. בשדה שם האישור, מזינים שם ייחודי לאישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.

  5. בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.

    אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.

  6. בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:

    • ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
    • Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

    השדה היקף לא זמין אם בחרתם מיקום אזורי.

  7. בשדה Certificate type (סוג האישור), בוחרים באפשרות Create Google-managed certificate (יצירת אישור בניהול Google).

  8. בשדה Certificate Authority type, בוחרים באפשרות Private.

  9. בשדה שמות דומיינים, מציינים רשימה של שמות דומיינים של האישור, שמופרדים בפסיקים. כל שם דומיין צריך להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.

  10. בקטע Select a certificate issuance config (בחירת הגדרת הנפקת אישור), בוחרים את השם של משאב הגדרת הנפקת האישור שמפנה למאגר היעד של רשות האישורים.

  11. בשדה Labels (תוויות), מציינים את התוויות שרוצים לשייך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  12. לוחצים על יצירה.

    האישור החדש מופיע ברשימת האישורים.

gcloud

כדי ליצור אישור שמנוהל על ידי Google באמצעות Certificate Authority Service, משתמשים בפקודה certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com, או דומיין עם תו כללי לחיפוש, כמו *.myorg.example.com. הקידומת של כוכבית ונקודה (*.) מציינת תעודת wildcard.
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הוא global.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

API

כדי ליצור את האישור, שולחים בקשת POST ל-method‏ certificates.create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • CERTIFICATE_NAME: שם האישור.
  • DOMAIN_NAME: השם של דומיין היעד. שם הדומיין חייב להיות שם דומיין שמוגדר במלואו, כמו myorg.example.com.
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

העלאת אישור בניהול עצמי

כדי להעלות אישור בניהול עצמי, מעלים את קובץ האישור (CRT) ואת קובץ המפתח הפרטי (KEY) התואם. אפשר להעלות אישורי TLS ‏ (SSL) מסוג X.509 גלובליים ואזוריים מהסוגים הבאים:

  • אישורים שנוצרו על ידי רשויות אישורים (CA) של צד שלישי לפי בחירתכם.
  • אישורים שנוצרו על ידי רשויות אישורים שאתם שולטים בהן.
  • אישורים עם חתימה עצמית, כמו שמתואר במאמר יצירת מפתח פרטי ואישור.

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, לוחצים על הוספת אישור.

  3. בשדה שם האישור, מזינים שם ייחודי לאישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של האישור. התיאור מאפשר לכם לזהות את האישור.

  5. בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.

    אם בחרתם באפשרות אזורי, בוחרים את האזור הרצוי מהרשימה אזור.

  6. בקטע היקף ההרשאות, בוחרים אחת מהאפשרויות הבאות:

    • ברירת מחדל: אם אתם מתכננים להשתמש באישור עם מאזן עומסים חיצוני גלובלי של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • כל האזורים: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) שפועל בכמה אזורים.
    • Edge cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

    השדה היקף לא זמין אם בחרתם מיקום אזורי.

  7. בשביל Certificate type, בוחרים Create self-managed certificate.

  8. בשדה Certificate, מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את קובץ האישור בפורמט PEM.
    • מעתיקים ומדביקים את התוכן של אישור בפורמט PEM. התוכן חייב להתחיל ב------BEGIN CERTIFICATE----- ולהסתיים ב------END CERTIFICATE-----.
  9. בשדה Private key certificate, מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את המפתח הפרטי. המפתח הפרטי צריך להיות בפורמט PEM ולא מוגן באמצעות סיסמה.
    • מעתיקים ומדביקים את התוכן של מפתח פרטי בפורמט PEM. המפתחות הפרטיים צריכים להתחיל ב------BEGIN PRIVATE KEY----- ולהסתיים ב------END PRIVATE KEY-----.
  10. בשדה Labels (תוויות), מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  11. לוחצים על יצירה.

    האישור החדש מופיע ברשימת האישורים.

gcloud

כדי ליצור אישור בניהול עצמי, משתמשים בפקודה certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • CERTIFICATE_FILE: הנתיב ושם הקובץ של אישור ה-CRT.
  • PRIVATE_KEY_FILE: הנתיב ושם הקובץ של קובץ המפתח הפרטי של KEY.
  • LOCATION: מיקום היעד. Google Cloud ערך ברירת המחדל הוא global.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

Terraform

כדי להעלות אישור בניהול עצמי, אפשר להשתמש במשאב google_certificate_manager_certificate עם הבלוק self_managed.

API

כדי להעלות את האישור, צריך לשלוח בקשת POST ל-method‏ certificates.create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • CERTIFICATE_NAME: שם האישור.
  • PEM_CERTIFICATE: אישור ה-PEM.
  • PEM_KEY: מפתח ה-PEM.
  • SCOPE: מזינים אחת מהאפשרויות הבאות:
    • default: אם אתם מתכננים להשתמש באישור עם מאזן עומסים גלובלי חיצוני של אפליקציות (ALB) או עם מאזן עומסי רשת גלובלי חיצוני בשרת proxy.
    • all-regions: אם אתם מתכננים להשתמש באישור עם מאזן עומסים פנימי של אפליקציות (ALB) בין אזורים.
    • edge-cache: אם אתם מתכננים להשתמש באישור עם Media CDN ולציין כמה דומיינים באישור.

עדכון אישור

אפשר לעדכן אישור קיים בלי לשנות את ההקצאות שלו לשמות דומיין במפת האישורים המתאימה. כשמעדכנים אישור, חשוב לוודא ששמות ה-SAN באישור החדש זהים בדיוק לשמות ה-SAN באישור הקיים.

אישורים שמנוהלים על ידי Google

באישורים שמנוהלים על ידי Google, אפשר לעדכן רק את התיאור והתוויות של האישור.

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, מאתרים את האישור שרוצים לעדכן ולוחצים על השם שלו. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.

  3. לוחצים על Edit. יופיע הדף עריכת האישור.

  4. אופציונלי: בשדה Description, מזינים תיאור חדש של האישור.

  5. אופציונלי: אפשר להוסיף, להסיר או לשנות את התוויות שמשויכות לאישור. כדי להוסיף תווית, לוחצים על הלחצן Add label ומציינים key ו-value בשביל התווית.

  6. לוחצים על Save. בדף פרטי האישור שמופיע, מוודאים שהאישור עודכן.

gcloud

כדי לעדכן אישור שמנוהל על ידי Google, משתמשים בפקודה certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • DESCRIPTION: תיאור ייחודי של האישור.
  • LABELS: רשימה מופרדת בפסיקים של תוויות שחלות על האישור הזה.

API

כדי לעדכן את האישור, שולחים בקשת PATCH ל-method‏ certificates.patch באופן הבא:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • CERTIFICATE_NAME: שם האישור.
  • DESCRIPTION: תיאור של האישור.
  • LABEL_KEY: מפתח תווית שהוחל על האישור.
  • LABEL_VALUE: ערך תווית שמוחל על האישור.

אישורים בניהול עצמי

כדי לעדכן אישור בניהול עצמי, צריך להעלות את הקבצים הבאים בקידוד PEM:

  • קובץ ה-CRT של האישור
  • קובץ המפתח הפרטי התואם

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, מאתרים את האישור שרוצים לעדכן ולוחצים על השם שלו. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.

  3. לוחצים על Edit. יופיע הדף עריכת האישור.

  4. אופציונלי: בשדה Description, מזינים תיאור חדש של האישור.

  5. אופציונלי: בשדה Certificate, מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את קובץ האישור בפורמט PEM.
    • מעתיקים ומדביקים את התוכן של אישור בפורמט PEM. התוכן חייב להתחיל ב------BEGIN CERTIFICATE----- ולהסתיים ב------END CERTIFICATE-----.
  6. אופציונלי: בשדה Private key certificate (אישור מפתח פרטי), מבצעים אחת מהפעולות הבאות:

    • לוחצים על הלחצן העלאה ובוחרים את המפתח הפרטי. המפתח הפרטי צריך להיות בפורמט PEM ולא להיות מוגן באמצעות ביטוי סיסמה.
    • מעתיקים ומדביקים את התוכן של מפתח פרטי בפורמט PEM. המפתחות הפרטיים צריכים להתחיל ב------BEGIN PRIVATE KEY----- ולהסתיים ב------END PRIVATE KEY-----.
  7. אופציונלי: אפשר להוסיף, להסיר או לשנות את התוויות שמשויכות לאישור. כדי להוסיף תווית, לוחצים על הלחצן Add label ומציינים key ו-value בשביל התווית.

  8. לוחצים על Save. בדף פרטי האישור שמופיע, מוודאים שהאישור עודכן.

gcloud

כדי לעדכן אישור בניהול עצמי, משתמשים בפקודה certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • CERTIFICATE_FILE: הנתיב ושם הקובץ של אישור ה-CRT.
  • PRIVATE_KEY_FILE: הנתיב ושם הקובץ של קובץ המפתח הפרטי של KEY.
  • DESCRIPTION: ערך תיאור ייחודי של האישור.
  • LABELS: רשימה מופרדת בפסיקים של תוויות שחלות על האישור הזה.
  • LOCATION: מיקום היעד. Google Cloud הדגל הזה הוא אופציונלי. הדגל הזה מיועד רק לאישורים אזוריים.

API

כדי לעדכן את האישור, שולחים בקשת PATCH ל-method‏ certificates.patch באופן הבא:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud הדגל הזה הוא אופציונלי. הדגל הזה מיועד רק לאישורים אזוריים.
  • CERTIFICATE_NAME: שם האישור.
  • PEM_CERTIFICATE: אישור ה-PEM.
  • PEM_KEY: מפתח ה-PEM.
  • DESCRIPTION: תיאור משמעותי של האישור.
  • LABEL_KEY: מפתח תווית שהוחל על האישור.
  • LABEL_VALUE: ערך תווית שמוחל על האישור.

הצגת רשימת אישורים

אתם יכולים לראות את כל האישורים בפרויקט ואת הפרטים שלהם, כמו אזור, שמות מארחים, תאריך תפוגה וסוג.

המסוף

בדף Certificate Manager במסוף Google Cloud אפשר להציג עד 10,000 אישורים. אם הפרויקט מכיל יותר מ-10,000 אישורים שמנוהלים על ידי Certificate Manager, צריך להשתמש בפקודת ה-CLI של gcloud.

כדי לראות את האישורים שהוקצו על ידי Certificate Manager:

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. לוחצים על הכרטיסייה Certificates (אישורים). בכרטיסייה הזו מופיעים כל האישורים שמנוהלים על ידי Certificate Manager בפרויקט שנבחר.

כדי לראות את האישורים שהוקצו דרך Cloud Load Balancing:

  1. במסוף Google Cloud , עוברים לכרטיסייה Classic Certificates בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. בכרטיסייה Classic Certificates (אישורים קלאסיים), אפשר לראות רשימה של כל האישורים הקלאסיים שהוגדרו בפרויקט שנבחר.

    אישורים קלאסיים לא מנוהלים על ידי Certificate Manager. למידע נוסף על אופן הניהול שלהם, אפשר לעיין במסמכים בנושא שימוש באישורים בניהול Google או שימוש באישורים בניהול עצמי.

gcloud

כדי לראות את רשימת האישורים, משתמשים בפקודה certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: מיקום היעד. Google Cloud כדי להציג רשימה של אישורים מכל האזורים, משתמשים בערך -. ערך ברירת המחדל הוא -. הדגל הזה הוא אופציונלי.
  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, אפשר לסנן את התוצאות לפי הקריטריונים הבאים:

    • שעת תפוגה: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • שמות DNS של SAN: ‏--filter='san_dnsnames:"example.com"'
    • מצב האישור: --filter='managed.state=FAILED'
    • סוג האישור: --filter='managed:*'
    • תוויות וזמן יצירה: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager מופיעות במאמר מיון וסינון של תוצאות רשימה במסמכי התיעוד של Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • LIMIT: המספר המקסימלי של התוצאות שרוצים להחזיר

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

API

כדי להציג את רשימת האישורים, שולחים בקשת LIST ל-method‏ certificates.list באופן הבא:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud כדי להציג רשימה של אישורים מכל האזורים, משתמשים ב-- כערך.
  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, אפשר לסנן את התוצאות לפי הקריטריונים הבאים:

    • שעת תפוגה: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • שמות DNS של SAN: ‏--filter='san_dnsnames:"example.com"'
    • מצב האישור: --filter='managed.state=FAILED'
    • סוג האישור: --filter='managed:*'
    • תוויות וזמן יצירה: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager זמינות במאמר מיון וסינון של תוצאות הרשימה במסמכי Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

הצגת המצב של אישור

אתם יכולים לראות את המצב של אישור קיים, כולל מצב ההקצאה שלו ומידע מפורט אחר.

המסוף

אם הפרויקט מכיל יותר מ-10,000 אישורים שמנוהלים על ידי Certificate Manager, הם לא יופיעו בדף Certificate Manager במסוףGoogle Cloud . במקום זאת, משתמשים בפקודה של ה-CLI של gcloud. עם זאת, אם יש לכם קישור ישיר לדף Details של האישור, תוכלו לראות את הפרטים שלו במסוף Google Cloud .

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בדף שמופיע, בוחרים בכרטיסייה אישורים.

  3. בכרטיסייה אישורים, עוברים לאישור הרצוי ולוחצים על שם האישור. בדף Certificate details מוצג מידע מפורט על האישור שנבחר.

  4. אופציונלי: כדי לראות את תגובת ה-REST מ-Certificate Manager API לגבי האישור הזה, לוחצים על Equivalent REST.

  5. אופציונלי: אם לאישור יש הגדרת הנפקה משויכת שרוצים להציג, בשדה Issuance config לוחצים על השם של משאב הגדרת ההנפקה המשויך. Google Cloud במסוף מוצגת ההגדרה המלאה של הגדרת הנפקת האישור.

gcloud

כדי לראות את הסטטוס של אישור, משתמשים בפקודה certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • LOCATION: מיקום היעד. Google Cloud מיקום ברירת המחדל הוא global. הדגל הזה הוא אופציונלי.

API

כדי לראות את סטטוס האישור, שולחים בקשת GET ל-method‏ certificates.get באופן הבא:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • CERTIFICATE_NAME: שם האישור.

מחיקת אישור

לפני שמוחקים אישור, צריך להסיר אותו מכל הרשומות במפת האישורים שמפנות אליו. אחרת, המחיקה תיכשל. מידע נוסף זמין במאמר מחיקת רשומה במפת אישורים.

המסוף

  1. נכנסים לדף Certificate Manager במסוף Google Cloud .

    מעבר אל Certificate Manager

  2. בכרטיסייה אישורים, מסמנים את תיבת הסימון של האישור שרוצים למחוק.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח שמופיעה, לוחצים על מחיקה כדי לאשר.

gcloud

כדי למחוק אישור, משתמשים בפקודה certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

מחליפים את מה שכתוב בשדות הבאים:

  • CERTIFICATE_NAME: שם האישור.
  • LOCATION: מיקום היעד. Google Cloud מיקום ברירת המחדל הוא global. הדגל הזה הוא אופציונלי.

API

כדי למחוק את האישור, שולחים בקשת DELETE ל-method‏ certificates.delete באופן הבא:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • CERTIFICATE_NAME: שם האישור.

המאמרים הבאים