Cette page explique comment créer et gérer une ressource de configuration d'émission de certificats.
Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Configurations d'émission de certificats.
Créer une ressource de configuration d'émission de certificats
Avant de créer la ressource de configuration d'émission, configurez l'intégration de CA Service à Certificate Manager.
Pour créer une ressource de configuration d'émission de certificat, spécifiez la durée de vie du certificat, le pourcentage de la fenêtre de rotation, l'algorithme de clé et le pool d'AC à utiliser.
Même si vous utilisez un pool d'AC régional pour émettre un certificat TLS géré par Google, le certificat peut être utilisé au niveau mondial.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations d'émission sur la page Certificate Manager.
Cliquez sur Créer. La page Créer une configuration d'émission de certificats s'affiche.
Dans le champ Nom, saisissez un nom unique pour la ressource de configuration de l'émission de certificats.
Facultatif : Dans le champ Description, saisissez une description de la configuration d'émission.
Pour Emplacement, sélectionnez Global ou Régional. Si vous avez sélectionné Régional, sélectionnez la même Région que votre certificat et votre pool d'autorités de certification.
Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
Dans le champ Pourcentage de la période de rotation, spécifiez le pourcentage de la durée de vie du certificat au cours duquel le processus de renouvellement commence. Pour trouver la plage de valeurs valides, consultez Pourcentage de la durée de vie et de la période de rotation.
Dans la liste Algorithme de clé, sélectionnez l'algorithme de clé à utiliser lors de la génération de la clé privée.
Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette ressource de configuration d'émission de certificats.
Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Cliquez sur Créer.
gcloud
Pour créer une ressource de configuration d'émission de certificat, utilisez la commande certificate-manager issuance-configs create :
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificat.CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée absolue. La valeur par défaut est de 30 jours (30D). Cette option est facultative.ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant renouvellement. La valeur par défaut est de 66%. Pour connaître la plage de valeurs valides, consultez [Période de rotation et durée de vie (pourcentage)](#lifetime-rotation-percentage). Cette option est facultative.KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048. Cette option est facultative.LOCATION: emplacement Google Cloud cible.
API
Créez la ressource de configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit :
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: emplacement Google Cloud cible.ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.DESCRIPTION: description pertinente de la ressource de configuration d'émission de certificat.CA_POOL: chemin d'accès complet et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificat.CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée absolue. La valeur par défaut est de 30 jours (30D). Cette option est facultative.ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant renouvellement. La valeur par défaut est de 66%. Pour connaître la plage de valeurs valides, consultez [Période de rotation et durée de vie (pourcentage)](#lifetime-rotation-percentage). Cette option est facultative.KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048. Cette option est facultative.
Durée de vie et pourcentage de la période de rotation
Lorsque vous créez une ressource de configuration d'émission de certificat, vous définissez également la durée de vie du certificat dans le champ Durée de vie et le moment où le processus de renouvellement du certificat commence avant son expiration dans le champ Pourcentage de la période de rotation.
Pour vous assurer que le certificat est renouvelé au moins sept jours avant son expiration et sept jours après son émission, définissez le pourcentage de la période de rotation par rapport à la durée de validité du certificat. Pour calculer la plage autorisée pour le pourcentage de la fenêtre de rotation, utilisez les formules suivantes :
- Valeur minimale : pourcentage de la période de rotation ≥ (7 / durée de vie) * 100
- Valeur maximale : pourcentage de la période de rotation ≤ ( (durée de vie - 7) / durée de vie) * 100
Dans les formules précédentes, 7 correspond à sept jours.
Si la valeur minimale est décimale, arrondissez-la au nombre entier le plus proche. Si la valeur maximale est une valeur décimale, arrondissez-la à l'entier inférieur le plus proche.
Mettre à jour une configuration d'émission de certificats
Lorsque vous mettez à jour une configuration d'émission de certificats, vous pouvez effectuer les opérations suivantes :
- Spécifier de nouveaux libellés
- Spécifier une nouvelle description
gcloud
Pour mettre à jour une ressource de configuration d'émission de certificats, utilisez la commande certificate-manager issuance-configs update :
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la configuration d'émission de certificats cible que vous souhaitez mettre à jour.LABELS: libellés que vous souhaitez spécifier pour la configuration d'émission de certificats. Les libellés doivent être spécifiés dans une liste d'éléments séparés par une virgule sous la forme de pairesKEY=VALUE. Ce champ est facultatif.DESCRIPTION: description de la configuration d'émission de certificats. Ce champ est facultatif.
API
La méthode certificateIssuanceConfigs.patch permet de mettre à jour une configuration d'émission de certificats :
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .ISSUANCE_CONFIG_NAME: nom de la configuration d'émission de certificats cible que vous souhaitez mettre à jour.LABEL_KEY: clé d'étiquette. Ce champ est facultatif.LABEL_VALUE: valeur du libellé. Ce champ est facultatif.DESCRIPTION: configuration d'émission de certificat.
Lister les configurations d'émission de certificats
Vous pouvez afficher toutes les ressources de configuration d'émission de certificats de votre projet et leurs détails.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations d'émission sur la page Certificate Manager.
Dans l'onglet Configurations d'émission, toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné sont affichées.
gcloud
Pour lister les ressources de configuration d'émission de certificats, utilisez la commande certificate-manager issuance-configs list :
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Remplacez les éléments suivants :
FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellés et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtres que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageLIMIT: nombre maximal de résultats à renvoyerSORT_BY: liste de champsnameséparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.LOCATION: emplacement Google Cloud cible.
API
Listez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit :
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellés et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation de Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageSORT_BY: liste de champsnameséparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.
Afficher l'état d'une ressource de configuration d'émission de certificats
Console
Dans la console Google Cloud , accédez à l'onglet Configurations d'émission sur la page Certificate Manager.
Cliquez sur le nom de la ressource de configuration d'émission de certificat que vous souhaitez afficher. La page Configuration d'émission de certificats affiche des informations détaillées sur la ressource de configuration d'émission de certificats.
gcloud
Pour afficher l'état d'une ressource de configuration d'émission de certificat, utilisez la commande certificate-manager issuance-configs describe :
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Remplacez ISSUANCE_CONFIG_NAME par le nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.
API
Affichez l'état de la ressource de configuration de l'émission de certificats en envoyant une requête GET à la méthode certificateIssuanceConfigs.get comme suit :
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
Supprimer une ressource de configuration d'émission de certificats
Avant de supprimer une ressource de configuration d'émission de certificat, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.
Pour désactiver la dernière autorité de certification que vous avez activée dans un pool d'autorités de certification référencé dans la ressource de configuration d'émission de certificats, ou pour supprimer complètement le pool d'autorités de certification, vous devez d'abord supprimer toutes les ressources de configuration d'émission de certificats qui font référence au pool d'autorités de certification.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations d'émission sur la page Certificate Manager.
Cochez la case correspondant à la configuration d'émission que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
Pour supprimer une ressource de configuration d'émission de certificat, utilisez la commande certificate-manager issuance-configs delete :
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.LOCATION: emplacement Google Cloud cible.
API
Supprimez la ressource de configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit :
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
Étapes suivantes
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS