証明書マップを管理する

証明書マップは、特定の証明書を特定のホスト名に割り当てる 1 つ以上の証明書マップエントリを参照します。このページでは、証明書マップを作成して管理する方法について説明します。

詳細については、証明書マップをご覧ください。

証明書マップを作成する

証明書に関連付けられた証明書マップエントリを参照する証明書マップを作成します。

gcloud

証明書マップを作成するには、gcloud certificate-manager maps create コマンドを使用します。

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

以下を置き換えます。

  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

API

証明書マップを作成するには、certificateMaps.create メソッドに POST リクエストを送信します。

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

Terraform

証明書マップを作成するには、google_certificate_manager_certificate_map リソースを使用します。

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。

証明書マップをプロキシに添付する

証明書マップエントリを使用して証明書マップを作成して構成したら、証明書マップをターゲット プロキシにアタッチします。Certificate Manager は、グローバル スコープのターゲット HTTPS プロキシとターゲット SSL プロキシの両方をサポートしています。これらのプロキシタイプの違いについて詳しくは、ターゲット プロキシを使用するをご覧ください。

TLS(SSL)証明書をターゲット プロキシに添付し、証明書マップを介して証明書も添付すると、プロキシは証明書マップで参照されている証明書を使用し、直接添付された証明書を無視します。

gcloud

証明書マップをターゲット HTTPS プロキシに添付するには、gcloud compute target-https-proxies update コマンドを使用します。

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

証明書マップをターゲット SSL プロキシに添付するには、gcloud compute target-ssl-proxies update コマンドを使用します。

gcloud compute target-ssl-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

以下を置き換えます。

  • PROXY_NAME: ターゲット プロキシの名前
  • CERTIFICATE_MAP_NAME: ターゲット証明書を参照する証明書マップ エントリを含む証明書マップの名前。

API

証明書マップをターゲット HTTPS プロキシに添付するには、targetHttpsProxies メソッドに POST リクエストを送信します。

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

証明書マップをターゲット SSL プロキシにアタッチするには、targetSslProxies メソッドに POST リクエストを送信します。

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • PROXY_NAME: ターゲット プロキシの名前
  • CERTIFICATE_MAP_NAME: ターゲット証明書を参照する証明書マップ エントリを含む証明書マップの名前。

プロキシから証明書マップを切断する

プロキシから証明書マップを切断する前に、次の点に注意してください。

  • TLS(SSL)証明書がプロキシに直接添付されている場合、証明書マップを切断すると、プロキシはそれらの証明書の使用を再開します。

  • TLS(SSL)証明書がプロキシに直接添付されていない場合、証明書マップを切断することはできません。証明書マップを切断する前に、少なくとも 1 つの TLS 証明書をプロキシに直接添付します。

gcloud

アタッチされている証明書マップをターゲット HTTPS プロキシから切り離すには、gcloud compute target-https-proxies update コマンドを使用します。

gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

添付されている証明書マップをターゲット SSL プロキシから切り離すには、gcloud compute target-ssl-proxies update コマンドを使用します。

gcloud compute target-ssl-proxies update PROXY_NAME \
    --clear-certificate-map

以下を置き換えます。

  • PROXY_NAME: ターゲット プロキシの名前

API

アタッチされた証明書マップをターゲット HTTPS プロキシから切り離すには、targetHttpsProxies メソッドに POST リクエストを送信します。

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

アタッチされた証明書マップをターゲット SSL プロキシから切断するには、targetSslProxies メソッドに POST リクエストを行います。

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • PROXY_NAME: ターゲット プロキシの名前

証明書マップを更新する

証明書マップの説明とラベルを更新できます。

gcloud

証明書マップを更新するには、gcloud certificate-manager maps update コマンドを使用します。

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

以下を置き換えます。

  • CERTIFICATE_MAP_NAME: 証明書マップの名前。
  • DESCRIPTION: この証明書マップの新しい説明。
  • LABELS: この証明書マップに適用されるラベルのカンマ区切りリスト。

API

証明書マップを更新するには、certificateMaps.patch メソッドに PATCH リクエストを送信します。

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }
}

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • CERTIFICATE_MAP_NAME: 証明書マップの名前。
  • DESCRIPTION: この証明書マップの新しい説明。
  • LABEL_KEY: この証明書マップに適用されるラベルキー。
  • LABEL_VALUE: この証明書マップに適用されるラベル。

証明書マップの一覧表示

プロジェクトで構成されたすべての証明書マップの一覧表示、フィルタ、並べ替えを行うことができます。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページの [証明書マップ] タブに移動します。

    [Certificate Manager] に移動

  2. [証明書マップ] タブには、選択したプロジェクトで構成されたすべての証明書マップのリストが表示されます。

gcloud

証明書マップを一覧表示するには、gcloud certificate-manager maps list コマンドを使用します。

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

以下を置き換えます。

  • FILTER: 返される結果を特定の値に制限する式。

    たとえば、ラベルと作成時間で結果をフィルタするには、次のように指定します。 --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。

  • PAGE_SIZE: ページごとに返す結果の数

  • LIMIT: 返される結果の最大件数です。

  • SORT_BY: 返される結果の並べ替えの基準とする name フィールドのカンマ区切りリスト。 デフォルトの並べ替え順は昇順です。降順の並べ替え順の場合、フィールドの先頭にチルダ(~)を付けます。

API

構成済みの証明書マップを一覧表示するには、certificateMaps.list メソッドに LIST リクエストを送信します。

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。

  • FILTER: 返される結果を特定の値に制限する式。

    たとえば、ラベルと作成時間で結果をフィルタするには、次のように指定します。 --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Certificate Manager で使用できるその他のフィルタリングの例については、Cloud Key Management Service のドキュメントのリストの結果の並べ替えとフィルタリングをご覧ください。

  • PAGE_SIZE: ページごとに返す結果の数

  • SORT_BY: 返される結果の並べ替えの基準とする name フィールドのカンマ区切りリスト。 デフォルトの並べ替え順は昇順です。降順の並べ替え順の場合、フィールドの先頭にチルダ(~)を付けます。

証明書マップの詳細を表示する

既存の証明書マップの詳細(作成日時や最終更新日時など)を表示できます。

コンソール

  1. Google Cloud コンソールで、[Certificate Manager] ページの [証明書マップ] タブに移動します。

    [Certificate Manager] に移動

  2. マップエントリを含む証明書マップの名前をクリックします。[証明書マップの詳細] ページには、選択した証明書マップの詳細情報が表示されます。

gcloud

証明書マップの状態を表示するには、gcloud certificate-manager maps describe コマンドを使用します。

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

以下を置き換えます。

  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

API

証明書マップの詳細を表示するには、certificateMaps.get メソッドに GET リクエストを送信します。

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

証明書マップを削除する

証明書マップを削除する前に、次の操作を行います。

gcloud

証明書マップを削除するには、gcloud certificate-manager maps delete コマンドを使用します。

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

以下を置き換えます。

  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

API

証明書マップを削除するには、certificateMaps.delete メソッドに DELETE リクエストを送信します。

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクトの ID。
  • CERTIFICATE_MAP_NAME: 証明書マップの名前。

次のステップ