このドキュメントでは、 Google Cloud コンソールの Certificate Manager(第 2 世代)ページを使用して、証明書ディレクトリを表示してフィルタする方法について説明します。ディレクトリを使用すると、証明書の有効期限のステータスをモニタリングし、関連付けられたリソースを特定して、特定の証明書を見つけることができます。
始める前に
- Google Cloud アカウントにログインします。 Google Cloudを初めて使用する場合は、 アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Certificate Authority Service, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Certificate Authority Service, Certificate Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
必要なロール
証明書ディレクトリを表示するために必要な権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
- Certificate Manager 閲覧者 (
roles/certificatemanager.viewer) - Certificate Manager 編集者 (
roles/certificatemanager.editor)
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
証明書ディレクトリにアクセスする
ディレクトリにアクセスして証明書を表示する手順は次のとおりです。
Google Cloud コンソールで、[Certificate Manager] ページに移動します。
表示された証明書ディレクトリの表を確認します。
デフォルトでは、テーブルには有効期間の長い証明書(有効期間が 72 時間を超える証明書)のみが表示されます。有効期間の短い証明書を表示するには、有効期間の短い証明書を含めるをご覧ください。
証明書ディレクトリをフィルタする
フィルタを使用して特定の証明書を見つけたり、モニタリングのニーズに基づいてディレクトリ ビューを絞り込んだりします。
有効期間の短い証明書を含める
デフォルトでは、自動ローテーションによってノイズが発生する可能性があるため、短期間の証明書は除外されます。これらのワークロードは、相互 TLS(mTLS)に頻繁にローテーションされる有効期間の短い証明書を使用します。これらを含めて、マネージド ワークロード ID またはエージェント ID を使用するワークロードの監査やトラブルシューティングを行うことができます。表示することで、証明書のローテーションが正常に完了したことを確認し、ワークロード ID の状態を確認できます。
有効期間が 72 時間未満の証明書を表示する手順は次のとおりです。
- [有効期間の短い証明書を含める] 切り替えをクリックします。証明書がディレクトリに表示されます。
フィルタパネルを使用する
定義済みの値を使用してテーブルをフィルタする手順は次のとおりです。
- [フィルタ パネル] をクリックします。
- [発行者の種類] や [有効期限のステータス] など、適用する条件の横にあるチェックボックスをオンにします。
フィルタバーを使用する
特定の列にカスタムフィルタを入力する手順は次のとおりです。
- ディレクトリ テーブルのフィルタバーにある [フィルタ] フィールドをクリックします。
- リストから、[ID]、[有効期限]、[リソース] などの列を選択します。
- フィルタする値を入力します(ドメイン名や特定のリソース名など)。
証明書の詳細を確認して管理する
キー パラメータをモニタリングし、ディレクトリ テーブル内の個々の証明書を管理するには、次のタスクを使用します。
証明書のステータスをモニタリングし、証明書の詳細を表示する
特定の証明書のステータスを確認する手順は次のとおりです。
- ディレクトリ テーブルで証明書を見つけます。
- [有効期限のステータス] 列で、証明書が有効か期限切れかを確認します。
- [ID] 列で ID 名(共通名または SAN)をクリックして、詳細を表示します。
ロケーションとリソースを監査する
証明書のソースと使用状況を確認する手順は次のとおりです。
- [場所] 列と [発行者のタイプ] 列で、証明書がステージングされている場所と、パブリック CA(パブリック認証局など)またはプライベート CA(CA Service など)によって発行されたかどうかを確認します。
- [リソース] 列で、証明書を発行した Google Cloud リソース(
TargetHttpsProxyなど)を見つけます。 - リソース名をクリックすると、その特定のリソースに関する詳細情報が表示されます。
ライフサイクル日を追跡する
発行と有効期限のタイムラインをモニタリングする手順は次のとおりです。
- ディレクトリ テーブルで証明書を見つけます。
- [発行日] 列と [有効期限] 列を確認して、マネージド証明書がいつ生成され、いつ有効期限が切れる予定であるかを確認します。
次のステップ
- 証明書をモニタリングする
- Certificate Manager のバージョンを比較する
- Certificate Manager(第 2 世代)の仕組み
- 発行構成を作成する
- マネージド ワークロードのライフサイクル管理を構成する