ניהול משאבי התצורה של הנפקת אישורים

בדף הזה מוסבר איך ליצור ולנהל משאב של הגדרת הנפקת אישורים.

מידע נוסף על משאבי הגדרות הנפקת אישורים זמין במאמר בנושא הגדרות הנפקת אישורים.

יצירת משאב של הגדרות להנפקת אישורים

לפני שיוצרים את משאב הגדרת ההנפקה, צריך להגדיר את השילוב של שירות CA עם Certificate Manager.

כדי ליצור משאב של הגדרת הנפקת אישור, צריך לציין את משך החיים של האישור, את אחוז חלון הרוטציה, את אלגוריתם המפתח ואת מאגר רשויות האישורים שבו רוצים להשתמש.

גם אם משתמשים במאגר אזורי של רשויות אישורים כדי להנפיק אישור TLS שמנוהל על ידי Google, אפשר להשתמש באישור הזה בכל העולם.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Issuance configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. לוחצים על יצירה. יופיע הדף Create a Certificate Issuance Config.

  3. בשדה שם, מזינים שם ייחודי למשאב של הגדרת הנפקת האישור.

  4. אופציונלי: בשדה Description, מזינים תיאור של הגדרת ההנפקה.

  5. בקטע מיקום, בוחרים באפשרות גלובלי או אזורי. אם בחרתם באפשרות אזורי, בוחרים באותו אזור שבו נמצאים האישור ומאגר רשויות האישורים.

  6. בשדה Lifetime, מציינים את משך החיים של האישור שהונפק בימים. הערך חייב להיות בין 21 ל-30 ימים (כולל).

  7. בקטע Rotation window percentage (אחוז חלון הרוטציה), מציינים את אחוז משך החיים של האישור שבו מתחיל תהליך החידוש. כדי לראות את טווח הערכים התקינים, אפשר לעיין במאמר בנושא אחוז חלון הזמן לשימוש וחלון הזמן לרוטציה.

  8. מהרשימה אלגוריתם המפתח, בוחרים את אלגוריתם המפתח שבו רוצים להשתמש כשיוצרים את המפתח הפרטי.

  9. ברשימה CA pool, בוחרים את השם של מאגר רשויות האישורים שרוצים להקצות למשאב הזה של הגדרת הנפקת האישורים.

  10. בשדה Labels מציינים את התוויות לשיוך לאישור. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  11. לוחצים על יצירה.

gcloud

כדי ליצור משאב של הגדרת הנפקת אישורים, משתמשים בפקודה certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

מחליפים את מה שכתוב בשדות הבאים:

  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • CA_POOL: הנתיב המלא של המשאב ושם מאגר ה-CA שרוצים להקצות למשאב של הגדרת הנפקת האישורים.
  • CERTIFICATE_LIFETIME: משך החיים של האישור בימים. הערכים התקינים הם בין 21 ל-30 ימים בפורמט משך מוחלט. ערך ברירת המחדל הוא 30 ימים (30D). הדגל הזה הוא אופציונלי.
  • ROTATION_WINDOW_PERCENTAGE: אחוז משך החיים שנותר לאישור לפני החידוש. ערך ברירת המחדל הוא 66%. כדי לראות את טווח הערכים התקינים, אפשר לעיין בקטע [אחוז חלון הזמן של חיי המודעה ושל הרוטציה](#lifetime-rotation-percentage). הדגל הזה הוא אופציונלי.
  • KEY_ALGORITHM: אלגוריתם ההצפנה ששימש ליצירת המפתח הפרטי. הערכים התקינים הם ecdsa-p256 או rsa-2048. ערך ברירת המחדל הוא rsa-2048. הדגל הזה הוא אופציונלי.
  • LOCATION: מיקום היעד. Google Cloud

API

כדי ליצור את משאב התצורה של הנפקת האישורים, שולחים בקשת POST אל method‏ certificateIssuanceConfigs.create באופן הבא:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: מיקום היעד. Google Cloud
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • DESCRIPTION: תיאור משמעותי של משאב ההגדרות של הנפקת האישור.
  • CA_POOL: הנתיב המלא של המשאב ושם מאגר ה-CA שרוצים להקצות למשאב של הגדרת הנפקת האישורים.
  • CERTIFICATE_LIFETIME: משך החיים של האישור בימים. הערכים התקינים הם בין 21 ל-30 ימים בפורמט משך מוחלט. ערך ברירת המחדל הוא 30 ימים (30D). הדגל הזה הוא אופציונלי.
  • ROTATION_WINDOW_PERCENTAGE: אחוז משך החיים שנותר לאישור לפני החידוש. ערך ברירת המחדל הוא 66%. כדי לראות את טווח הערכים התקינים, אפשר לעיין בקטע [אחוז חלון הזמן של חיי המודעה ושל הרוטציה](#lifetime-rotation-percentage). הדגל הזה הוא אופציונלי.
  • KEY_ALGORITHM: אלגוריתם ההצפנה ששימש ליצירת המפתח הפרטי. הערכים התקינים הם ecdsa-p256 או rsa-2048. ערך ברירת המחדל הוא rsa-2048. הדגל הזה הוא אופציונלי.

אחוז החלון של משך החיים ושל הרוטציה

כשיוצרים משאב של הגדרת הנפקת אישור, מגדירים גם את משך החיים של האישור בשדה משך החיים, ואת הזמן שבו תהליך חידוש האישור יתחיל לפני שהוא יפוג בשדה אחוז חלון הרוטציה.

כדי לוודא שהאישור יתחדש לפחות שבעה ימים לפני תאריך התפוגה שלו ושבעה ימים אחרי הנפקתו, צריך להגדיר את אחוז חלון הרוטציה ביחס לזמן החיים של האישור. כדי לחשב את הטווח המותר של אחוז חלון הרוטציה, משתמשים בנוסחאות הבאות:

  • ערך מינימלי: אחוז חלון הרוטציה ≥ (7 / משך החיים) * 100
  • ערך מקסימלי: אחוז חלון הרוטציה ≤ ( (משך החיים – 7) / משך החיים) * 100

בנוסחאות הקודמות, 7 מייצג שבעה ימים.

אם הערך המינימלי הוא ערך עשרוני, צריך לעגל אותו כלפי מעלה למספר השלם הקרוב ביותר. אם הערך המקסימלי הוא ערך עשרוני, מעגלים אותו כלפי מטה למספר השלם הקרוב ביותר.

עדכון של הגדרת הנפקת אישורים

כשמעדכנים הגדרה של הנפקת אישורים, אפשר:

  • ציון תוויות חדשות
  • ציון תיאור חדש

gcloud

כדי לעדכן משאב של הגדרת הנפקת אישורים, משתמשים בפקודה certificate-manager issuance-configs update:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

מחליפים את מה שכתוב בשדות הבאים:

  • ISSUANCE_CONFIG_NAME: השם של הגדרות הנפקת האישורים של היעד שרוצים לעדכן.
  • LABELS: תוויות שרוצים לציין להגדרת הנפקת האישור. צריך לציין את התוויות ברשימה מופרדת בפסיקים כצמדים של KEY=VALUE. השדה הזה אופציונלי.
  • DESCRIPTION: תיאור של הגדרות הנפקת האישור. השדה הזה הוא אופציונלי.

API

משתמשים בשיטה certificateIssuanceConfigs.patch כדי לעדכן את הגדרת הנפקת האישורים:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • ISSUANCE_CONFIG_NAME: השם של הגדרות הנפקת האישורים של היעד שרוצים לעדכן.
  • LABEL_KEY: מפתח התווית. השדה הזה הוא אופציונלי.
  • LABEL_VALUE: הערך של התווית. השדה הזה אופציונלי.
  • DESCRIPTION: הגדרות הנפקת האישורים.

הצגת רשימה של הגדרות הנפקת אישורים

תוכלו לראות את כל משאבי ההגדרה של הנפקת האישורים בפרויקט ואת הפרטים שלהם.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Issuance configs בדף Certificate Manager.

    מעבר אל Certificate Manager

    בכרטיסייה Issuance configs (הגדרות הנפקה), מוצגים כל משאבי ההגדרה של הנפקת אישורים שמנוהלים על ידי Certificate Manager בפרויקט שנבחר.

gcloud

כדי לראות את רשימת המשאבים של הגדרות הנפקת אישורים, משתמשים בפקודה certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

מחליפים את מה שכתוב בשדות הבאים:

  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, כדי לסנן את התוצאות לפי התוויות וזמן היצירה, אפשר לציין: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager מופיעות במאמר מיון וסינון של תוצאות ברשימה במסמכי העזרה של Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • LIMIT: המספר המקסימלי של התוצאות שרוצים להחזיר

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

  • LOCATION: מיקום היעד. Google Cloud

API

כדי לראות רשימה של משאבי הגדרות הנפקת אישורים שהוגדרו, שולחים בקשת LIST אל ה-method‏ certificateIssuanceConfigs.list באופן הבא:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .

  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, כדי לסנן את התוצאות לפי התוויות וזמן היצירה, אפשר לציין: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager זמינות במאמר מיון וסינון של תוצאות הרשימה במסמכי Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

הצגת המצב של משאב הגדרות להנפקת אישור

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Issuance configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. לוחצים על השם של משאב הגדרת הנפקת האישורים שרוצים להציג. בדף Certificate Issuance Config מוצג מידע מפורט על משאב הגדרת הנפקת האישורים.

gcloud

כדי להציג את המצב של משאב הגדרת הנפקת אישורים, משתמשים בפקודה certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

מחליפים את ISSUANCE_CONFIG_NAME בשם של משאב ההגדרה של הנפקת האישורים שמפנה למאגר היעד של רשויות האישורים.

API

כדי לראות את המצב של משאב הגדרות הנפקת האישורים, שולחים בקשת GET אל ה-method‏ certificateIssuanceConfigs.get באופן הבא:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.

מחיקת משאב של הגדרת הנפקת אישורים

לפני שמוחקים משאב של הגדרת הנפקת אישורים, צריך קודם למחוק את האישור שמנוהל על ידי Google שמפנה אליו.

כדי להשבית את ה-CA האחרון שהפעלתם במאגר CA שאליו מתייחס משאב הגדרת הנפקת האישורים, או כדי למחוק את מאגר ה-CA לגמרי, קודם צריך למחוק את כל משאבי הגדרת הנפקת האישורים שמתייחסים למאגר ה-CA.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Issuance configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. מסמנים את התיבה של הגדרת ההנפקה שרוצים למחוק.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח שמופיעה, לוחצים על מחיקה כדי לאשר.

gcloud

כדי למחוק משאב של הגדרת הנפקת אישורים, משתמשים בפקודה certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

מחליפים את מה שכתוב בשדות הבאים:

  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.
  • LOCATION: מיקום היעד. Google Cloud

API

כדי למחוק את משאב הגדרת הנפקת האישורים, שולחים בקשת DELETE אל ה-method‏ certificateIssuanceConfigs.delete באופן הבא:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • ISSUANCE_CONFIG_NAME: השם של משאב הגדרות הנפקת האישורים שמפנה למאגר היעד של רשות האישורים.

המאמרים הבאים