Gerenciar recursos de configuração de emissão de certificados

Nesta página, descrevemos como criar e gerenciar um recurso de configuração de emissão de certificado.

Para mais informações sobre recursos de configuração de emissão de certificados, consulte Configurações de emissão de certificados.

Criar um recurso de configuração de emissão de certificado

Antes de criar o recurso de configuração de emissão, configure a integração do CA Service com o Certificate Manager.

Para criar um recurso de configuração de emissão de certificado, especifique o tempo de vida, a porcentagem da janela de rotação, o algoritmo de chave e o pool de CA a ser usado.

Mesmo que você use um pool de CA regional para emitir um certificado TLS gerenciado pelo Google, ele pode ser usado globalmente.

Console

  1. No console Google Cloud , acesse a guia Configurações de emissão na página Certificate Manager.

    Acessar o Certificate Manager

  2. Clique em Criar. A página Criar uma configuração de emissão de certificado é exibida.

  3. No campo Nome, insira um nome exclusivo para o recurso de configuração de emissão de certificado.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.

  5. Em Local, selecione Global ou Regional. Se você selecionou Regional, escolha a mesma Região do certificado e do pool de ACs.

  6. No campo Ciclo de vida, especifique o ciclo de vida do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  7. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começa. Para encontrar o intervalo de valores válidos, consulte Porcentagem da janela de vida útil e rotação.

  8. Na lista Algoritmo de chave, selecione o algoritmo a ser usado ao gerar a chave privada.

  9. Na lista Pool de AC, selecione o nome do pool de AC que você quer atribuir a esse recurso de configuração de emissão de certificado.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

gcloud

Para criar um recurso de configuração de emissão de certificado, use o comando certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • CA_POOL: o caminho completo do recurso e o nome do pool de CA que você quer atribuir ao recurso de configuração de emissão de certificado.
  • CERTIFICATE_LIFETIME: o tempo de vida do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Porcentagem de vida útil e rotação de janelas](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.
  • LOCATION: o Google Cloud local de destino.

API

Crie o recurso de configuração de emissão de certificado fazendo uma solicitação POST para o método certificateIssuanceConfigs.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua:

  • PROJECT_ID: ID do seu projeto do Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • DESCRIPTION: uma descrição significativa para o recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho completo do recurso e o nome do pool de CA que você quer atribuir ao recurso de configuração de emissão de certificado.
  • CERTIFICATE_LIFETIME: o tempo de vida do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa flag é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Porcentagem de vida útil e rotação de janelas](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.

Porcentagem de ciclo de vida e janela de rotação

Ao criar um recurso de configuração de emissão de certificado, você também define o ciclo de vida do certificado no campo Ciclo de vida e quando o processo de renovação do certificado começa antes de expirar no campo Porcentagem da janela de rotação.

Para garantir que o certificado seja renovado pelo menos sete dias antes da expiração e sete dias após a emissão, defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado. Para calcular o intervalo permitido para a porcentagem da janela de rotação, use as seguintes fórmulas:

  • Valor mínimo: porcentagem da janela de rotação ≥ (7 / ciclo de vida) * 100
  • Valor máximo: porcentagem da janela de rotação ≤ ( (ciclo de vida - 7) / ciclo de vida) * 100

Nas fórmulas anteriores, 7 é de sete dias.

Se o valor mínimo for decimal, arredonde-o para cima até o número inteiro mais próximo. Se o valor máximo for decimal, arredonde-o para baixo até o número inteiro mais próximo.

Atualizar uma configuração de emissão de certificado

Ao atualizar uma configuração de emissão de certificado, é possível fazer o seguinte:

  • Especificar novos rótulos
  • Especificar uma nova descrição

gcloud

Para atualizar um recurso de configuração de emissão de certificado, use o comando certificate-manager issuance-configs update:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão de certificado de destino que você quer atualizar.
  • LABELS: os rótulos que você quer especificar para a configuração de emissão de certificados. Os rótulos precisam ser especificados em uma lista delimitada por vírgulas como pares KEY=VALUE. Este campo é opcional.
  • DESCRIPTION: a descrição da configuração de emissão de certificado. Este campo é opcional.

API

Use o método certificateIssuanceConfigs.patch para atualizar uma configuração de emissão de certificado:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Substitua:

  • PROJECT_ID: ID do seu projeto do Google Cloud .
  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão de certificado de destino que você quer atualizar.
  • LABEL_KEY: a chave do rótulo. Este campo é opcional.
  • LABEL_VALUE: o valor do rótulo. Este campo é opcional.
  • DESCRIPTION: a configuração de emissão de certificados.

Listar configurações de emissão de certificados

É possível conferir todos os recursos de configuração de emissão de certificados do seu projeto e os detalhes deles.

Console

  1. No console Google Cloud , acesse a guia Configurações de emissão na página Certificate Manager.

    Acessar o Certificate Manager

    Na guia Configurações de emissão, todos os recursos de configuração de emissão de certificados gerenciados pelo gerenciador de certificados no projeto selecionado são exibidos.

gcloud

Para listar os recursos de configuração de emissão de certificados, use o comando certificate-manager issuance-configs list:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Substitua:

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados por rótulos e hora de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Como classificar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: número de resultados que você quer retornar por página

  • LIMIT: número máximo de resultados que você quer retornar

  • SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

  • LOCATION: o Google Cloud local de destino.

API

Liste os recursos de configuração de emissão de certificados configurados fazendo uma solicitação LIST ao método certificateIssuanceConfigs.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: ID do seu projeto do Google Cloud .

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados por rótulos e hora de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: número de resultados que você quer retornar por página

  • SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

Ver o estado de um recurso de configuração de emissão de certificado

Console

  1. No console Google Cloud , acesse a guia Configurações de emissão na página Certificate Manager.

    Acessar o Certificate Manager

  2. Clique no nome do recurso de configuração de emissão de certificado que você quer visualizar. A página Configuração de emissão de certificados mostra informações detalhadas sobre o recurso de configuração de emissão de certificados.

gcloud

Para conferir o estado de um recurso de configuração de emissão de certificado, use o comando certificate-manager issuance-configs describe:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua ISSUANCE_CONFIG_NAME pelo nome do recurso de configuração de emissão de certificado que faz referência ao pool de ACs de destino.

API

Para conferir o estado do recurso de configuração de emissão de certificado, faça uma solicitação GET para o método certificateIssuanceConfigs.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: ID do seu projeto do Google Cloud .
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

Excluir um recurso de configuração de emissão de certificado

Antes de excluir um recurso de configuração de emissão de certificado, é necessário excluir o certificado gerenciado pelo Google que faz referência a ele.

Para desativar a última CA ativada em um pool de CA referenciado no recurso de configuração de emissão de certificado ou para excluir o pool de CA por completo, primeiro exclua todos os recursos de configuração de emissão de certificado que fazem referência ao pool de CA.

Console

  1. No console Google Cloud , acesse a guia Configurações de emissão na página Certificate Manager.

    Acessar o Certificate Manager

  2. Marque a caixa de seleção da configuração de emissão que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Para excluir um recurso de configuração de emissão de certificado, use o comando certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o Google Cloud local de destino.

API

Exclua o recurso de configuração de emissão de certificado fazendo uma solicitação DELETE para o método certificateIssuanceConfigs.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: ID do seu projeto do Google Cloud .
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

A seguir