Gerenciar recursos de configuração de emissão de certificados

Esta página descreve como criar e gerenciar um recurso de configuração de emissão de certificados.

Para mais informações sobre recursos de configuração de emissão de certificados, consulte Configurações de emissão de certificados.

Criar um recurso de configuração de emissão de certificados

Antes de criar o recurso de configuração de emissão, configure a integração do CA Service com o Gerenciador de certificados.

Para criar um recurso de configuração de emissão de certificados, especifique o ciclo de vida do certificado, a porcentagem da janela de rotação, o algoritmo de chave e o pool de ACs a ser usado.

Mesmo que você use um pool de ACs regional para emitir um certificado TLS gerenciado pelo Google, o certificado poderá ser usado globalmente.

Console

  1. No Google Cloud console, acesse a guia Configurações de emissão na página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique em Criar. A página Criar uma configuração de emissão de certificados será exibida.

  3. No campo Nome, insira um nome exclusivo para o recurso de configuração de emissão de certificados.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração de emissão.

  5. Em Local, selecione Global ou Regional. Se você selecionou Regional, selecione a mesma Região do certificado e do pool de ACs.

  6. No campo Ciclo de vida, especifique o ciclo de vida do certificado emitido em dias. O valor precisa estar entre 21 e 30 dias (inclusive).

  7. Em Porcentagem da janela de rotação, especifique a porcentagem do ciclo de vida do certificado quando o processo de renovação começa. Para encontrar o intervalo de valores válidos, consulte Ciclo de vida e porcentagem da janela de rotação.

  8. Na lista Algoritmo de chave, selecione o algoritmo de chave a ser usado ao gerar a chave privada.

  9. Na lista Pool de ACs, selecione o nome do pool de ACs a ser atribuído a esse recurso de configuração de emissão de certificados.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

gcloud

Para criar um recurso de configuração de emissão de certificados, use o certificate-manager issuance-configs create comando:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • CA_POOL: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: o ciclo de vida do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa sinalização é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Ciclo de vida e porcentagem da janela de rotação](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.
  • LOCATION: o target Google Cloud location.

API

Crie o recurso de configuração de emissão de certificados fazendo uma solicitação POST para o método certificateIssuanceConfigs.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Substitua:

  • PROJECT_ID: ID do seu Google Cloud project.
  • LOCATION: o target Google Cloud location.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • DESCRIPTION: uma descrição significativa para o recurso de configuração de emissão de certificados.
  • CA_POOL: o caminho completo do recurso e o nome do pool de ACs que você quer atribuir ao recurso de configuração de emissão de certificados.
  • CERTIFICATE_LIFETIME: o ciclo de vida do certificado em dias. Os valores válidos são de 21 a 30 dias no formato de duração absoluta. O valor padrão é de 30 dias (30D). Essa sinalização é opcional.
  • ROTATION_WINDOW_PERCENTAGE: a porcentagem do ciclo de vida restante do certificado antes da renovação. O valor padrão é 66%. Para encontrar o intervalo de valores válidos, consulte [Ciclo de vida e porcentagem da janela de rotação](#lifetime-rotation-percentage). Essa sinalização é opcional.
  • KEY_ALGORITHM: o algoritmo de criptografia usado para gerar a chave privada. Os valores válidos são ecdsa-p256 ou rsa-2048. O valor padrão é rsa-2048. Essa sinalização é opcional.

Ciclo de vida e porcentagem da janela de rotação

Ao criar um recurso de configuração de emissão de certificados, você também define o ciclo de vida do certificado no campo Ciclo de vida e quando o processo de renovação do certificado começa antes de expirar no campo Porcentagem da janela de rotação.

Para garantir que o certificado seja renovado pelo menos sete dias antes da expiração e sete dias após a emissão, defina a porcentagem da janela de rotação em relação ao ciclo de vida do certificado. Para calcular o intervalo permitido para a porcentagem da janela de rotação, use as seguintes fórmulas:

  • Valor mínimo: porcentagem da janela de rotação ≥ (7 / ciclo de vida) * 100
  • Valor máximo: porcentagem da janela de rotação ≤ ( (ciclo de vida - 7) / ciclo de vida) * 100

Nas fórmulas anteriores, 7 é sete dias.

Se o valor mínimo for um valor decimal, arredonde-o para cima até o número inteiro mais próximo. Se o valor máximo for um valor decimal, arredonde-o para baixo até o número inteiro mais próximo.

Atualizar uma configuração de emissão de certificados

Ao atualizar uma configuração de emissão de certificados, é possível fazer o seguinte:

  • Especificar novos rótulos
  • Especificar uma nova descrição

gcloud

Para atualizar um recurso de configuração de emissão de certificados, use o certificate-manager issuance-configs update comando:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão de certificados de destino que você quer atualizar.
  • LABELS: rótulos que você quer especificar para a configuração de emissão de certificados. Os rótulos precisam ser especificados em uma lista delimitada por vírgulas como pares KEY=VALUE. Este campo é opcional.
  • DESCRIPTION: a descrição da configuração de emissão de certificados. Este campo é opcional.

API

Use o certificateIssuanceConfigs.patch método para atualizar uma configuração de emissão de certificados:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Substitua:

  • PROJECT_ID: ID do seu Google Cloud project.
  • ISSUANCE_CONFIG_NAME: o nome da configuração de emissão de certificados de destino que você quer atualizar.
  • LABEL_KEY: a chave do rótulo. Este campo é opcional.
  • LABEL_VALUE: o valor do rótulo. Este campo é opcional.
  • DESCRIPTION: a configuração de emissão de certificados.

Listar configurações de emissão de certificados

É possível conferir todos os recursos de configuração de emissão de certificados do seu projeto e os detalhes deles.

Console

  1. No Google Cloud console, acesse a guia Configurações de emissão na página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

    Na guia Configurações de emissão, todos os recursos de configuração de emissão de certificados gerenciados pelo Gerenciador de certificados no projeto selecionado são exibidos.

gcloud

Para listar recursos de configuração de emissão de certificados, use o certificate-manager issuance-configs list comando:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Substitua:

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pelo horário de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Classificação e filtragem de resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: número de resultados que você quer retornar por página

  • LIMIT: número máximo de resultados que você quer retornar

  • SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para a ordem de classificação decrescente, prefixe o campo com um til (~).

  • LOCATION: o target Google Cloud location.

API

Liste os recursos de configuração de emissão de certificados configurados fazendo uma solicitação LIST para o método certificateIssuanceConfigs.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: ID do seu Google Cloud project.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pelo horário de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Classificação e filtragem de resultados da lista em na documentação do Cloud Key Management Service.

  • PAGE_SIZE: número de resultados que você quer retornar por página

  • SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para a ordem de classificação decrescente, prefixe o campo com um til (~).

Conferir o estado de um recurso de configuração de emissão de certificados

Console

  1. No Google Cloud console, acesse a guia Configurações de emissão na página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique no nome do recurso de configuração de emissão de certificados que você quer visualizar. A página Configuração de emissão de certificados mostra informações detalhadas sobre o recurso de configuração de emissão de certificados.

gcloud

Para conferir o estado de um recurso de configuração de emissão de certificados, use o certificate-manager issuance-configs describe comando:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Substitua ISSUANCE_CONFIG_NAME pelo nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

API

Confira o estado do recurso de configuração de emissão de certificados fazendo uma solicitação GET para o método certificateIssuanceConfigs.get da seguinte maneira:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: ID do seu Google Cloud project.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

Excluir um recurso de configuração de emissão de certificados

Antes de excluir um recurso de configuração de emissão de certificados, primeiro exclua o certificado gerenciado pelo Google que faz referência a ele.

Para desativar a última AC ativada em um pool de ACs referenciado no recurso de configuração de emissão de certificados ou para excluir o pool de ACs completamente, primeiro exclua todos os recursos de configuração de emissão de certificados que fazem referência ao pool de ACs.

Console

  1. No Google Cloud console, acesse a guia Configurações de emissão na página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Selecione a caixa de seleção da configuração de emissão que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Para excluir um recurso de configuração de emissão de certificados, use o certificate-manager issuance-configs delete comando:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Substitua:

  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o target Google Cloud location.

API

Exclua o recurso de configuração de emissão de certificados fazendo uma solicitação DELETE para o método certificateIssuanceConfigs.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Substitua:

  • PROJECT_ID: ID do seu Google Cloud project.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.

A seguir