憑證對應組合會參照一或多個憑證對應關係,這些關係會將特定憑證指派給特定主機名稱。本頁說明如何建立及管理憑證對應。
詳情請參閱「憑證對應」。
建立憑證對應關係
建立憑證對應組合,參照與憑證相關聯的憑證對應關係。
gcloud
如要建立憑證對應組合,請使用 gcloud certificate-manager maps create 指令:
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱。
API
如要建立憑證對應組合,請對 certificateMaps.create 方法發出 POST 要求:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_MAP_NAME:憑證對應組合的名稱。
Terraform
如要建立憑證對應組合,可以使用 google_certificate_manager_certificate_map 資源。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
將憑證對應組合附加至 Proxy
建立並設定憑證對應組合和憑證對應項目後,請將憑證對應組合附加至目標 Proxy。Certificate Manager 支援全域目標 HTTPS 和目標 SSL Proxy。如要進一步瞭解這些 Proxy 類型之間的差異,請參閱「使用目標 Proxy」。
如果將 TLS (SSL) 憑證附加至目標 Proxy,並透過憑證對應組合附加憑證,Proxy 會使用憑證對應組合參照的憑證,並忽略直接附加的憑證。
gcloud
如要將憑證對應組合附加至目標 HTTPS Proxy,請使用 gcloud
compute target-https-proxies update 指令:
gcloud compute target-https-proxies update PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME"
如要將憑證對應組合附加至目標 SSL Proxy,請使用 gcloud compute
target-ssl-proxies update 指令:
gcloud compute target-ssl-proxies update PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME"
更改下列內容:
PROXY_NAME:目標 Proxy 的名稱。CERTIFICATE_MAP_NAME:憑證對應組合的名稱,其中包含參照目標憑證的憑證對應項目。
API
如要將憑證對應組合附加至目標 HTTPS Proxy,請向 targetHttpsProxies 方法發出 POST 要求:
POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}
如要將憑證對應組合附加至目標 SSL Proxy,請向 targetSslProxies 方法發出 POST 要求:
POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。PROXY_NAME:目標 Proxy 的名稱。CERTIFICATE_MAP_NAME:憑證對應組合的名稱,其中包含參照目標憑證的憑證對應項目。
從 Proxy 中分離憑證對應組合
從 Proxy 中分離憑證對應組合前,請注意下列事項:
如果任何 TLS (SSL) 憑證直接連接至 Proxy,卸載憑證對應組合後,Proxy 會繼續使用這些憑證。
如果沒有直接附加至 Proxy 的 TLS (SSL) 憑證,就無法卸離憑證對應。請先將至少一個 TLS 憑證直接附加至 Proxy,再卸離憑證對應組合。
gcloud
如要從目標 HTTPS Proxy 中卸載任何已連接的憑證對應組合,請使用 gcloud compute target-https-proxies update 指令:
gcloud compute target-https-proxies update PROXY_NAME \
--clear-certificate-map
如要從目標 SSL Proxy 中分離任何已附加的憑證對應組合,請使用 gcloud compute target-ssl-proxies update 指令:
gcloud compute target-ssl-proxies update PROXY_NAME \
--clear-certificate-map
更改下列內容:
PROXY_NAME:目標 Proxy 的名稱。
API
如要從目標 HTTPS Proxy 中分離任何已附加的憑證對應組合,請對 targetHttpsProxies 方法發出 POST 要求:
POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
certificateMap: "",
}
如要從目標 SSL Proxy 中卸載任何已連接的憑證對應組合,請對 targetSslProxies 方法發出 POST 要求:
POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
certificateMap: "",
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。PROXY_NAME:目標 Proxy 的名稱。
更新憑證對應組合
您可以更新憑證對應組合的說明和標籤。
gcloud
如要更新憑證對應組合,請使用 gcloud certificate-manager maps update 指令:
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
--description="DESCRIPTION"
--update-labels="LABELS"
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱。DESCRIPTION:這個憑證對應表的新說明。LABELS:以逗號分隔的清單,列出套用至這個憑證對應組合的標籤。
API
如要更新憑證對應組合,請向 certificateMaps.patch 方法發出 PATCH 要求:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_MAP_NAME:憑證對應組合的名稱。DESCRIPTION:這個憑證對應表的新說明。LABEL_KEY:套用至這個憑證對應的標籤鍵。LABEL_VALUE:套用至這個憑證對應的標籤。
列出憑證對應關係
您可以列出、篩選及排序專案的所有已設定憑證對應。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」(憑證管理工具) 頁面的「Certificate maps」(憑證對應) 分頁。
在「憑證對應」分頁中,您可以查看所選專案中所有已設定的憑證對應清單。
gcloud
如要列出憑證對應,請使用 gcloud certificate-manager maps list 指令:
gcloud certificate-manager maps list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
更改下列內容:
FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,如要依標籤和建立時間篩選結果,可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需更多可搭配 Certificate Manager 使用的篩選器範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
PAGE_SIZE:每頁要傳回的結果數。LIMIT:要傳回的結果數量上限。SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。
API
如要列出已設定的憑證對應,請向 certificateMaps.list 方法發出 LIST 要求:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,如要依標籤和建立時間篩選結果,可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需更多可搭配 Certificate Manager 使用的篩選器範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
PAGE_SIZE:每頁要傳回的結果數。SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。
查看憑證對應組合的詳細資料
您可以查看現有憑證對應組合的詳細資料,例如建立日期和時間,以及上次更新日期和時間。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」(憑證管理工具) 頁面的「Certificate maps」(憑證對應) 分頁。
按一下包含對應項目的憑證對應組合名稱。「憑證對應組合詳細資料」頁面會顯示所選憑證對應組合的詳細資訊。
gcloud
如要查看憑證對應組合的狀態,請使用 gcloud certificate-manager maps describe 指令:
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱。
API
如要查看憑證對應組合的詳細資料,請向 certificateMaps.get 方法發出 GET 要求:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_MAP_NAME:憑證對應組合的名稱。
刪除憑證對應關係
刪除憑證對應組合前,請先完成下列步驟:
- 從目標 Proxy 卸離憑證對應關係。
- 如果憑證對應組合已指派任何憑證對應關係,請刪除指派給憑證對應組合的憑證對應關係。
gcloud
如要刪除憑證對應組合,請使用 gcloud certificate-manager maps delete 指令:
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱。
API
如要刪除憑證對應組合,請向 certificateMaps.delete 方法發出 DELETE 要求:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_MAP_NAME:憑證對應組合的名稱。