인증서 발급 구성 리소스 관리

이 페이지에서는 인증서 발급 구성 리소스를 만들고 관리하는 방법을 설명합니다.

인증서 발급 구성 리소스에 대한 자세한 내용은 인증서 발급 구성을 참고하세요.

인증서 발급 구성 리소스 만들기

발급 구성 리소스를 만들기 전에 인증서 관리자와 CA 서비스 통합을 구성합니다.

인증서 발급 구성 리소스를 만들려면 인증서 전체 기간, 순환 기간 비율, 키 알고리즘, 사용할 CA 풀을 지정합니다.

리전별 CA 풀을 사용하여 Google 관리형 TLS 인증서를 발급하더라도 인증서는 전 세계적으로 사용할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지의 발급 구성 탭으로 이동합니다.

    인증서 관리자로 이동

  2. 만들기를 클릭합니다. 인증서 발급 구성 만들기 페이지가 나타납니다.

  3. 이름 필드에 인증서 발급 구성 리소스의 고유한 이름을 입력합니다.

  4. 선택사항: 설명 필드에 발급 구성에 대한 설명을 입력합니다.

  5. 위치전역 또는 리전을 선택합니다. 리전별을 선택한 경우 인증서 및 CA 풀과 동일한 리전을 선택합니다.

  6. 전체 기간 필드에 발급된 인증서의 전체 기간을 일 단위로 지정합니다. 값은 21~30일(포함) 사이여야 합니다.

  7. 순환 기간 비율의 경우 갱신 프로세스가 시작될 때 인증서 수명 비율을 지정합니다. 유효한 값 범위를 찾으려면 전체 기간 및 순환 기간 비율을 참고하세요.

  8. 키 알고리즘 목록에서 비공개 키를 생성할 때 사용할 키 알고리즘을 선택합니다.

  9. CA 풀 목록에서 이 인증서 발급 구성 리소스에 할당할 CA 풀의 이름을 선택합니다.

  10. 라벨 필드에서 인증서에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.

  11. 만들기를 클릭합니다.

gcloud

인증서 발급 구성 리소스를 만들려면 certificate-manager issuance-configs create 명령어를 사용합니다.

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

다음을 바꿉니다.

  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • CA_POOL: 인증서 발급 구성 리소스에 할당할 CA 풀의 전체 리소스 경로와 이름입니다.
  • CERTIFICATE_LIFETIME: 인증서 수명(일)입니다. 유효한 값은 절대 기간 형식의 21~30일입니다. 기본값은 30일 (30D)입니다. 이 플래그는 선택사항입니다.
  • ROTATION_WINDOW_PERCENTAGE: 갱신 전 인증서의 남은 수명 비율입니다. 기본값은 66%입니다. 유효한 값 범위를 찾으려면 [전체 기간 및 순환 기간 비율](#lifetime-rotation-percentage)을 참고하세요. 이 플래그는 선택사항입니다.
  • KEY_ALGORITHM: 비공개 키를 생성하는 데 사용되는 암호화 알고리즘입니다. 유효한 값은 ecdsa-p256 또는 rsa-2048입니다. 기본값은 rsa-2048입니다. 이 플래그는 선택사항입니다.
  • LOCATION: 대상 Google Cloud 위치입니다.

API

다음과 같이 certificateIssuanceConfigs.create 메서드에 POST 요청을 전송하여 인증서 발급 구성 리소스를 만듭니다.

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • LOCATION: 대상 Google Cloud 위치입니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • DESCRIPTION: 인증서 발급 구성 리소스에 대한 의미 있는 설명입니다.
  • CA_POOL: 인증서 발급 구성 리소스에 할당할 CA 풀의 전체 리소스 경로와 이름입니다.
  • CERTIFICATE_LIFETIME: 인증서 수명(일)입니다. 유효한 값은 절대 기간 형식의 21~30일입니다. 기본값은 30일 (30D)입니다. 이 플래그는 선택사항입니다.
  • ROTATION_WINDOW_PERCENTAGE: 갱신 전 인증서의 남은 수명 비율입니다. 기본값은 66%입니다. 유효한 값 범위를 찾으려면 [전체 기간 및 순환 기간 비율](#lifetime-rotation-percentage)을 참고하세요. 이 플래그는 선택사항입니다.
  • KEY_ALGORITHM: 비공개 키를 생성하는 데 사용되는 암호화 알고리즘입니다. 유효한 값은 ecdsa-p256 또는 rsa-2048입니다. 기본값은 rsa-2048입니다. 이 플래그는 선택사항입니다.

전체 기간 및 순환 기간 비율

인증서 발급 구성 리소스를 만들 때 전체 기간 필드에 인증서 전체 기간을 정의하고 순환 기간 비율 필드에 만료되기 전에 인증서 갱신 프로세스가 시작될 때 인증서 전체 기간을 정의합니다.

인증서가 만료되기 최소 7일 전과 발급 후 7일 후에 갱신되도록 하려면 인증서 수명을 기준으로 순환 기간 비율을 설정합니다. 순환 기간 비율의 허용 범위를 계산하려면 다음 수식을 사용하세요.

  • 최솟값: 순환 기간 비율 ≥ (7 / 전체 기간) * 100
  • 최댓값: 순환 기간 비율 ≤ ((전체 기간 - 7) / 전체 기간) * 100

앞의 수식에서 7은 7일입니다.

최솟값이 십진수이면 가장 가까운 정수로 올림합니다. 최댓값이 십진수 값이면 가장 가까운 정수로 내림합니다.

인증서 발급 구성 업데이트

인증서 발급 구성을 업데이트할 때 다음 작업을 할 수 있습니다.

  • 새 라벨 지정
  • 새 설명 지정

gcloud

인증서 발급 구성 리소스를 업데이트하려면 certificate-manager issuance-configs update 명령어를 사용합니다.

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

다음을 바꿉니다.

  • ISSUANCE_CONFIG_NAME: 업데이트하려는 대상 인증서 발급 구성의 이름입니다.
  • LABELS: 인증서 발급 구성에 지정할 라벨입니다. 라벨은 쉼표로 구분된 목록에 KEY=VALUE 쌍으로 지정해야 합니다. 이 필드는 선택사항입니다.
  • DESCRIPTION: 인증서 발급 구성에 관한 설명입니다. 이 필드는 선택사항입니다.

API

certificateIssuanceConfigs.patch 메서드를 사용하여 인증서 발급 구성을 업데이트합니다.

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • ISSUANCE_CONFIG_NAME: 업데이트하려는 대상 인증서 발급 구성의 이름입니다.
  • LABEL_KEY: 라벨 키 이 필드는 선택사항입니다.
  • LABEL_VALUE: 라벨의 값입니다. 이 필드는 선택사항입니다.
  • DESCRIPTION: 인증서 발급 구성입니다.

인증서 발급 구성 나열

프로젝트의 모든 인증서 발급 구성 리소스와 세부정보를 볼 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지의 발급 구성 탭으로 이동합니다.

    인증서 관리자로 이동

    발급 구성 탭에는 선택한 프로젝트에서 인증서 관리자가 관리하는 모든 인증서 발급 구성 리소스가 표시됩니다.

gcloud

인증서 발급 구성 리소스를 나열하려면 certificate-manager issuance-configs list 명령어를 사용합니다.

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

다음을 바꿉니다.

  • FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

    예를 들어 라벨 및 생성 시간별로 결과를 필터링하려면 다음을 지정하면 됩니다. --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참조하세요.

  • PAGE_SIZE: 페이지당 반환할 결과 수입니다.

  • LIMIT: 반환할 최대 결과 수입니다.

  • SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.

  • LOCATION: 대상 Google Cloud 위치입니다.

API

다음과 같이 certificateIssuanceConfigs.list 메서드에 LIST 요청을 전송하여 구성된 인증서 발급 구성 리소스를 나열합니다.

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.

  • FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

    예를 들어 라벨 및 생성 시간별로 결과를 필터링하려면 다음을 지정하면 됩니다. --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참조하세요.

  • PAGE_SIZE: 페이지당 반환할 결과 수입니다.

  • SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.

인증서 발급 구성 리소스 상태 보기

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지의 발급 구성 탭으로 이동합니다.

    인증서 관리자로 이동

  2. 보려는 인증서 발급 구성 리소스의 이름을 클릭합니다. 인증서 발급 구성 페이지에는 인증서 발급 구성 리소스에 관한 자세한 정보가 표시됩니다.

gcloud

인증서 발급 구성 리소스의 상태를 보려면 certificate-manager issuance-configs describe 명령어를 사용합니다.

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

ISSUANCE_CONFIG_NAME을 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름으로 바꿉니다.

API

다음과 같이 certificateIssuanceConfigs.get 메서드에 GET 요청을 전송하여 인증서 발급 구성 리소스의 상태를 확인합니다.

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.

인증서 발급 구성 리소스 삭제

인증서 발급 구성 리소스를 삭제하려면 먼저 이를 참조하는 Google 관리형 인증서를 삭제해야 합니다.

인증서 발급 구성 리소스에서 참조된 CA 풀에서 사용 설정한 마지막 CA를 중지하거나 CA 풀을 완전히 삭제하려면 먼저 CA 풀을 참조하는 모든 인증서 발급 구성 리소스를 삭제해야 합니다.

콘솔

  1. Google Cloud 콘솔에서 인증서 관리자 페이지의 발급 구성 탭으로 이동합니다.

    인증서 관리자로 이동

  2. 삭제하려는 발급 구성의 체크박스를 선택합니다.

  3. 삭제를 클릭합니다.

  4. 표시되는 대화상자에서 삭제를 클릭하여 확인합니다.

gcloud

인증서 발급 구성 리소스를 삭제하려면 certificate-manager issuance-configs delete 명령어를 사용합니다.

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

다음을 바꿉니다.

  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.
  • LOCATION: 대상 Google Cloud 위치입니다.

API

다음과 같이 certificateIssuanceConfigs.delete 메서드에 DELETE 요청을 전송하여 인증서 발급 구성 리소스를 삭제합니다.

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다.
  • ISSUANCE_CONFIG_NAME: 대상 CA 풀을 참조하는 인증서 발급 구성 리소스의 이름입니다.

다음 단계