管理憑證對應關係

憑證對應組合會參照一或多個憑證對應關係,這些關係會將特定憑證指派給特定主機名稱。本頁說明如何建立及管理憑證對應。

詳情請參閱「憑證對應關係」。

建立憑證對應關係

您可以建立憑證對應組合,參照與憑證相關聯的憑證對應關係。

控制台

  1. 在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。

    前往 Certificate Manager

  2. 按一下「建立憑證對應組合」

  3. 在「Name」(名稱) 欄位中,輸入憑證對應組合名稱,例如 cert-map-8

  4. 在「Description」(說明) 欄位中輸入憑證對應組合的說明, 例如 My new certificate map

  5. 如要建立憑證對應關係並新增至憑證對應組合,請按一下「新增對應關係」,然後按照後續章節所述步驟操作。

  6. 如要新增標籤並與憑證對應組合建立關聯,請按一下「新增標籤」,然後輸入標籤的鍵和值。

  7. 點選「建立」

gcloud

如要建立憑證對應組合,請使用 gcloud certificate-manager maps create 指令

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

更改下列內容:

  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

API

如要建立憑證對應組合,請對 certificateMaps.create 方法發出 POST 要求:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

Terraform

如要建立憑證對應組合,請使用 google_certificate_manager_certificate_map 資源

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。

將憑證對應組合附加至 Proxy

建立並設定憑證對應組合和憑證對應項目後,請將憑證對應組合附加至目標 Proxy。Certificate Manager 支援全域目標 HTTPS 和目標 SSL Proxy。如要進一步瞭解這些 Proxy 類型之間的差異,請參閱「使用目標 Proxy」。

如果將 TLS (SSL) 憑證附加至目標 Proxy,並透過憑證對應組合附加憑證,Proxy 會使用憑證對應組合參照的憑證,並忽略直接附加的憑證。

gcloud

如要將憑證對應附加至目標 HTTPS Proxy,請使用 gcloud compute target-https-proxies update 指令

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

如要將憑證對應組合附加至目標 SSL Proxy,請使用 gcloud compute target-ssl-proxies update 指令

gcloud compute target-ssl-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

更改下列內容:

  • PROXY_NAME:目標 Proxy 的名稱
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱,其中包含參照目標憑證的對應項目

API

如要將憑證對應組合附加至目標 HTTPS Proxy,請向 targetHttpsProxies 方法發出 POST 要求:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

如要將憑證對應組合連接至目標 SSL Proxy,請對 targetSslProxies 方法發出 POST 要求:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • PROXY_NAME:目標 Proxy 的名稱
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱,其中包含參照目標憑證的對應項目

從 Proxy 中分離憑證對應組合

從 Proxy 中分離憑證對應組合前,請注意下列事項:

  • 如果任何 TLS (SSL) 憑證直接連接至 Proxy,卸載憑證對應組合後,Proxy 會繼續使用這些憑證。

  • 如果沒有 TLS (SSL) 憑證直接附加至 Proxy,就無法分離憑證對應組合。請先將至少一個 TLS 憑證直接附加至 Proxy,再卸離憑證對應組合。

gcloud

如要從目標 HTTPS Proxy 中分離任何已附加的憑證對應組合,請使用 gcloud compute target-https-proxies update 指令

gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

如要從目標 SSL Proxy 中分離任何已附加的憑證對應組合,請使用 gcloud compute target-ssl-proxies update 指令

gcloud compute target-ssl-proxies update PROXY_NAME \
    --clear-certificate-map

更改下列內容:

  • PROXY_NAME:目標 Proxy 的名稱

API

如要從目標 HTTPS Proxy 中分離任何已附加的憑證對應組合,請對 targetHttpsProxies 方法發出 POST 要求:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

如要從目標 SSL Proxy 中分離任何已附加的憑證對應組合,請對 targetSslProxies 方法發出 POST 要求:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • PROXY_NAME:目標 Proxy 的名稱

更新憑證對應組合

您可以更新憑證對應組合的說明和標籤。如果您使用Google Cloud 控制台,可以將新的對應關係新增至憑證對應組合,也可以編輯或刪除與憑證對應組合相關聯的對應關係。

控制台

  1. 在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。

    前往 Certificate Manager

  2. 在憑證對應組合清單中,按一下所需憑證對應組合。「憑證對應關係詳細資料」頁面隨即開啟。

  3. 按一下「編輯」。「編輯憑證對應組合」頁面隨即開啟。

  4. 在「Description」(說明) 欄位中,輸入憑證對應組合的新說明。

  5. 如要將新的憑證對應關係新增至憑證對應組合,請按一下「新增對應項目」,然後按照「建立憑證對應關係」一節所述步驟操作。

    如要編輯憑證對應關係,請在該憑證對應關係列的「動作」欄下方,按一下 圖示,選取「編輯」,然後按照「更新憑證對應關係」一節中的步驟操作。

    如要刪除對應關係,請在該對應關係列的「動作」欄下方,按一下 圖示,選取「刪除」,然後按照「刪除憑證對應關係」一節中的步驟操作。

  6. 您可以新增、刪除或更新與憑證對應組合相關聯的標籤。

    如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。

    如要刪除標籤,請按一下所需標籤的「刪除項目」

  7. 按一下 [儲存]

gcloud

如要更新憑證對應組合,請使用 gcloud certificate-manager maps update 指令

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

更改下列內容:

  • CERTIFICATE_MAP_NAME:憑證對應組合名稱
  • DESCRIPTION:這個憑證對應的新說明
  • LABELS:套用至這個憑證對應組合的逗號分隔標籤清單

API

如要更新憑證對應組合,請向 certificateMaps.patch 方法發出 PATCH 要求:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }
}

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱
  • DESCRIPTION:這個憑證對應的新說明
  • LABEL_KEY:套用至這個憑證對應的標籤鍵
  • LABEL_VALUE:套用至這張憑證對應地圖的標籤

列出憑證對應關係

您可以查看、篩選及排序您建立的所有認證地圖清單。

控制台

  1. 前往 Google Cloud 控制台的「Certificate Manager」頁面。

    前往 Certificate Manager

  2. 按一下「憑證對應」分頁標籤。您可以查看、篩選及設定所選專案中所有憑證地圖的顯示資料欄。

gcloud

如要列出憑證對應,請使用 gcloud certificate-manager maps list 指令

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

更改下列內容:

  • FILTER:運算式,可將傳回的結果限制為特定值。

    舉例來說,如要依標籤和建立時間篩選結果,可以指定:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    如需更多可搭配 Certificate Manager 使用的篩選條件範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。

  • PAGE_SIZE:每頁要傳回的結果數

  • LIMIT:要傳回的結果數上限

  • SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。

API

如要列出已設定的憑證對應,請向 certificateMaps.list 方法發出 LIST 要求:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID

  • FILTER:運算式,可將傳回的結果限制為特定值。

    舉例來說,如要依標籤和建立時間篩選結果,可以指定: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    如需更多可搭配 Certificate Manager 使用的篩選條件範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。

  • PAGE_SIZE:每頁要傳回的結果數

  • SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。

查看憑證對應組合的詳細資料

您可以查看現有憑證對應組合的詳細資料,例如建立日期和時間、上次更新日期和時間,以及說明。

控制台

  1. 在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。

    前往 Certificate Manager

  2. 在憑證對應組合清單中,按一下所需憑證對應組合。「憑證對應組合詳細資料」頁面隨即開啟,顯示所選憑證對應組合的詳細資訊。

gcloud

如要查看憑證對應組合的詳細資料,請使用 gcloud certificate-manager maps describe 指令

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

更改下列內容:

  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

API

如要查看憑證對應組合的詳細資料,請向 certificateMaps.get 方法發出 GET 要求:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

刪除憑證對應關係

刪除憑證對應組合前,請先完成下列步驟:

控制台

  1. 在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。

    前往 Certificate Manager

  2. 在憑證對應組合清單中,按一下所需憑證對應組合。「憑證對應關係詳細資料」頁面隨即開啟。

  3. 依序點選「刪除」和「刪除」

gcloud

如要刪除憑證對應組合,請使用 gcloud certificate-manager maps delete 指令

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

更改下列內容:

  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

API

如要刪除憑證對應組合,請對 certificateMaps.delete 方法發出 DELETE 要求:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

更改下列內容:

  • PROJECT_ID: Google Cloud 專案的 ID
  • CERTIFICATE_MAP_NAME:憑證對應組合名稱

後續步驟