Mengelola resource konfigurasi penerbitan sertifikat

Halaman ini menjelaskan cara membuat dan mengelola resource konfigurasi penerbitan sertifikat.

Untuk mengetahui informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Konfigurasi penerbitan sertifikat.

Membuat resource konfigurasi penerbitan sertifikat

Sebelum membuat resource konfigurasi penerbitan, konfigurasi integrasi CA Service dengan Certificate Manager.

Untuk membuat resource konfigurasi penerbitan sertifikat, tentukan masa berlaku sertifikat, persentase periode rotasi, algoritma kunci, dan kumpulan CA yang akan digunakan.

Meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat tersebut dapat digunakan secara global.

Konsol

  1. Di konsol Google Cloud , buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik Create. Halaman Create a Certificate Issuance Config akan muncul.

  3. Di kolom Name, masukkan nama unik untuk resource konfigurasi penerbitan sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk konfigurasi penerbitan.

  5. Untuk Lokasi, pilih Global atau Regional. Jika Anda memilih Regional, pilih Region yang sama dengan sertifikat dan kumpulan CA Anda.

  6. Di kolom Masa berlaku, tentukan masa berlaku sertifikat yang diterbitkan dalam hari. Nilainya harus antara 21 hingga 30 hari (inklusif).

  7. Untuk Persentase periode rotasi, tentukan persentase masa berlaku sertifikat saat proses perpanjangannya dimulai. Untuk mengetahui rentang nilai yang valid, lihat Persentase periode Aktif dan Rotasi.

  8. Dari daftar Algoritma kunci, pilih algoritma kunci yang akan digunakan saat membuat kunci pribadi.

  9. Dari daftar CA pool, pilih nama CA pool yang akan ditetapkan ke resource konfigurasi penerbitan sertifikat ini.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Create.

gcloud

Untuk membuat resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • CA_POOL: jalur dan nama resource lengkap CA pool yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa aktif sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut. Nilai defaultnya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat yang tersisa sebelum perpanjangan. Nilai defaultnya adalah 66%. Untuk mengetahui rentang nilai yang valid, lihat [Persentase jendela Rotasi dan Masa aktif](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai defaultnya adalah rsa-2048. Flag ini bersifat opsional.
  • LOCATION: target Google Cloud lokasi.

API

Buat resource konfigurasi penerbitan sertifikat dengan membuat permintaan POST ke metode certificateIssuanceConfigs.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: target Google Cloud lokasi.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat.
  • CA_POOL: jalur dan nama resource lengkap CA pool yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa aktif sertifikat dalam hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut. Nilai defaultnya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase masa aktif sertifikat yang tersisa sebelum perpanjangan. Nilai defaultnya adalah 66%. Untuk mengetahui rentang nilai yang valid, lihat [Persentase jendela Rotasi dan Masa aktif](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai defaultnya adalah rsa-2048. Flag ini bersifat opsional.

Persentase jendela Masa Pakai dan Rotasi

Saat membuat resource konfigurasi penerbitan sertifikat, Anda juga menentukan masa berlaku sertifikat di kolom Masa berlaku, dan kapan proses perpanjangan sertifikat dimulai sebelum masa berlakunya berakhir di kolom Persentase periode rotasi.

Untuk memastikan sertifikat diperpanjang setidaknya tujuh hari sebelum masa berlakunya berakhir dan tujuh hari setelah penerbitannya, tetapkan persentase periode rotasi relatif terhadap masa berlaku sertifikat. Untuk menghitung rentang yang diizinkan untuk persentase jendela rotasi, gunakan formula berikut:

  • Nilai minimum: Persentase jendela rotasi ≥ (7 / Masa aktif) * 100
  • Nilai maksimum: Persentase periode rotasi ≤ ( (Masa aktif - 7) / Masa aktif) * 100

Dalam formula sebelumnya, 7 adalah tujuh hari.

Jika nilai minimum adalah nilai desimal, bulatkan ke atas ke bilangan bulat terdekat. Jika nilai maksimum adalah nilai desimal, bulatkan ke bawah ke bilangan bulat terdekat.

Memperbarui konfigurasi penerbitan sertifikat

Saat memperbarui konfigurasi penerbitan sertifikat, Anda dapat melakukan hal berikut:

  • Menentukan label baru
  • Tentukan deskripsi baru

gcloud

Untuk memperbarui resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs update:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • LABELS: label yang ingin Anda tentukan untuk konfigurasi penerbitan sertifikat. Label harus ditentukan dalam daftar yang dibatasi koma sebagai pasangan KEY=VALUE. Kolom ini bersifat opsional.
  • DESCRIPTION: deskripsi konfigurasi penerbitan sertifikat. Kolom ini bersifat opsional.

API

Gunakan metode certificateIssuanceConfigs.patch untuk memperbarui konfigurasi penerbitan sertifikat:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • ISSUANCE_CONFIG_NAME: nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • LABEL_KEY: kunci label. Kolom ini bersifat opsional.
  • LABEL_VALUE: nilai label. Kolom ini bersifat opsional.
  • DESCRIPTION: konfigurasi penerbitan sertifikat.

Mencantumkan konfigurasi penerbitan sertifikat

Anda dapat melihat semua resource konfigurasi penerbitan sertifikat project Anda dan detailnya.

Konsol

  1. Di konsol Google Cloud , buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

    Di tab Konfigurasi penerbitan, semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager di project yang dipilih akan ditampilkan.

gcloud

Untuk mencantumkan resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Ganti kode berikut:

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • LIMIT: jumlah maksimum hasil yang ingin Anda tampilkan

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, awali kolom dengan tanda gelombang (~).

  • LOCATION: target Google Cloud lokasi.

API

Buat daftar resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST ke metode certificateIssuanceConfigs.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, awali kolom dengan tanda gelombang (~).

Melihat status resource konfigurasi penerbitan sertifikat

Konsol

  1. Di konsol Google Cloud , buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik nama resource konfigurasi penerbitan sertifikat yang ingin Anda lihat. Halaman Certificate Issuance Config menampilkan informasi mendetail tentang resource konfigurasi penerbitan sertifikat.

gcloud

Untuk melihat status resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ganti ISSUANCE_CONFIG_NAME dengan nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

API

Lihat status resource konfigurasi penerbitan sertifikat dengan membuat permintaan GET ke metode certificateIssuanceConfigs.get sebagai berikut:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Menghapus resource konfigurasi penerbitan sertifikat

Sebelum menghapus resource konfigurasi penerbitan sertifikat, Anda harus menghapus sertifikat yang dikelola Google yang mereferensikannya terlebih dahulu.

Untuk menonaktifkan CA terakhir yang Anda aktifkan dalam kumpulan CA yang dirujuk di resource konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA sepenuhnya, Anda harus menghapus semua resource konfigurasi penerbitan sertifikat yang merujuk ke kumpulan CA terlebih dahulu.

Konsol

  1. Di konsol Google Cloud , buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Pilih kotak centang konfigurasi penerbitan yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud

Untuk menghapus resource konfigurasi penerbitan sertifikat, gunakan perintah certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • LOCATION: target Google Cloud lokasi.

API

Hapus resource konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE ke metode certificateIssuanceConfigs.delete sebagai berikut:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Langkah berikutnya