Cette page explique comment créer et gérer une ressource de configuration d'émission de certificats.
Pour en savoir plus sur les ressources de configuration d'émission de certificats, consultez Configurations d'émission de certificats.
Créer une ressource de configuration d'émission de certificats
Avant de créer la ressource de configuration d'émission, configurez l'intégration de CA Service avec Certificate Manager.
Pour créer une ressource de configuration d'émission de certificats, spécifiez la durée de vie du certificat, le pourcentage de la période de rotation, l'algorithme de clé et le pool d'autorités de certification à utiliser.
Même si vous utilisez un pool d'autorités de certification régional pour émettre un certificat TLS géré par Google, le certificat peut être utilisé dans le monde entier.
Console
Dans la Google Cloud console, accédez à l'onglet Configurations d'émission de la page Gestionnaire de certificats.
Cliquez sur Créer. La page Créer une configuration d'émission de certificats s'affiche.
Dans le champ Nom, saisissez un nom unique pour la ressource de configuration d'émission de certificats.
Facultatif : Dans le champ Description, saisissez une description de la configuration d'émission.
Pour Emplacement, sélectionnez Global ou Régional. Si vous avez sélectionné Régional, sélectionnez la même Région que votre certificat et votre pool d'autorités de certification.
Dans le champ Durée de vie, spécifiez la durée de vie du certificat émis en jours. La valeur doit être comprise entre 21 et 30 jours (inclus).
Pour Pourcentage de la période de rotation, spécifiez le pourcentage de la durée de vie du certificat au début du processus de renouvellement. Pour trouver la plage de valeurs valides, consultez Durée de vie et pourcentage de la période de rotation pourcentage.
Dans la liste Algorithme de clé, sélectionnez l'algorithme de clé à utiliser lors de la génération de la clé privée.
Dans la liste Pool d'autorités de certification, sélectionnez le nom du pool d'autorités de certification à attribuer à cette ressource de configuration d'émission de certificats.
Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Cliquez sur Créer.
gcloud
Pour créer une ressource de configuration d'émission de certificats, utilisez la
certificate-manager issuance-configs create
commande :
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.CA_POOL: chemin d'accès complet à la ressource et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée absolue. La valeur par défaut est de 30 jours (30D). Cette option est facultative.ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant son renouvellement. La valeur par défaut est de 66%. Pour trouver la plage de valeurs valides, consultez [Durée de vie et pourcentage de la période de rotation](#lifetime-rotation-percentage). Cette option est facultative.KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048. Cette option est facultative.LOCATION: emplacement cible Google Cloud .
API
Créez la ressource de configuration d'émission de certificats en envoyant une requête POST à la méthode certificateIssuanceConfigs.create comme suit :
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre Google Cloud projet.LOCATION: emplacement cible Google Cloud .ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.DESCRIPTION: description explicite de la ressource de configuration d'émission de certificats.CA_POOL: chemin d'accès complet à la ressource et nom du pool d'autorités de certification que vous souhaitez attribuer à la ressource de configuration d'émission de certificats.CERTIFICATE_LIFETIME: durée de vie du certificat en jours. Les valeurs valides sont comprises entre 21 et 30 jours au format de durée absolue. La valeur par défaut est de 30 jours (30D). Cette option est facultative.ROTATION_WINDOW_PERCENTAGE: pourcentage de la durée de vie restante du certificat avant son renouvellement. La valeur par défaut est de 66%. Pour trouver la plage de valeurs valides, consultez [Durée de vie et pourcentage de la période de rotation](#lifetime-rotation-percentage). Cette option est facultative.KEY_ALGORITHM: algorithme de chiffrement utilisé pour générer la clé privée. Les valeurs valides sontecdsa-p256oursa-2048. La valeur par défaut estrsa-2048. Cette option est facultative.
Durée de vie et pourcentage de la période de rotation
Lorsque vous créez une ressource de configuration d'émission de certificats, vous définissez également la durée de vie du certificat dans le champ Durée de vie, et le moment où le processus de renouvellement du certificat commence avant son expiration dans le champ Pourcentage de la période de rotation.
Pour vous assurer que le certificat est renouvelé au moins sept jours avant son expiration et sept jours après son émission, définissez le pourcentage de la période de rotation par rapport à la durée de vie du certificat. Pour calculer la plage autorisée pour le pourcentage de la période de rotation, utilisez les formules suivantes :
- Valeur minimale : Pourcentage de la période de rotation ≥ (7 / Durée de vie) * 100
- Valeur maximale : Pourcentage de la période de rotation ≤ ( (Durée de vie - 7) / Durée de vie) * 100
Dans les formules précédentes, 7 correspond à sept jours.
Si la valeur minimale est une valeur décimale, arrondissez-la à l'entier supérieur. Si la valeur maximale est une valeur décimale, arrondissez-la à l'entier inférieur.
Mettre à jour une configuration d'émission de certificats
Lorsque vous mettez à jour une configuration d'émission de certificats, vous pouvez effectuer les opérations suivantes :
- Spécifier de nouveaux libellés
- Spécifier une nouvelle description
gcloud
Pour mettre à jour une ressource de configuration d'émission de certificats, utilisez la
certificate-manager issuance-configs update
commande :
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la configuration d'émission de certificats cible que vous souhaitez mettre à jour.LABELS: libellés que vous souhaitez spécifier pour la configuration d'émission de certificats. Les libellés doivent être spécifiés dans une liste délimitée par des virgules sous forme de pairesKEY=VALUE. Ce champ est facultatif.DESCRIPTION: description de la configuration d'émission de certificats. Ce champ est facultatif.
API
Utilisez la
certificateIssuanceConfigs.patch
méthode pour mettre à jour une configuration d'émission de certificats :
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre Google Cloud projet.ISSUANCE_CONFIG_NAME: nom de la configuration d'émission de certificats cible que vous souhaitez mettre à jour.LABEL_KEY: clé d'étiquette. Ce champ est facultatif.LABEL_VALUE: valeur du libellé. Ce champ est facultatif.DESCRIPTION: configuration d'émission de certificats.
Lister les configurations d'émission de certificats
Vous pouvez afficher toutes les ressources de configuration d'émission de certificats de votre projet et leurs détails.
Console
Dans la Google Cloud console, accédez à l'onglet Configurations d'émission de la page Gestionnaire de certificats.
Accéder au gestionnaire de certificats
Dans l'onglet Configurations d'émission, toutes les ressources de configuration d'émission de certificats gérées par le gestionnaire de certificats dans le projet sélectionné s'affichent.
gcloud
Pour lister les ressources de configuration d'émission de certificats, utilisez la
certificate-manager issuance-configs list
commande :
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Remplacez les éléments suivants :
FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par les libellés et par heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de la liste dans la documentation Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageLIMIT: nombre maximal de résultats que vous souhaitez renvoyerSORT_BY: liste délimitée par des virgules des champsnamepar lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) devant le champ.LOCATION: emplacement cible Google Cloud .
API
Listez les ressources de configuration d'émission de certificats configurées en envoyant une requête LIST à la méthode certificateIssuanceConfigs.list comme suit :
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID: ID de votre Google Cloud projet.FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par les libellés et par heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de la liste dans la documentation Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageSORT_BY: liste délimitée par des virgules des champsnamepar lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~) devant le champ.
Afficher l'état d'une ressource de configuration d'émission de certificats
Console
Dans la Google Cloud console, accédez à l'onglet Configurations d'émission de la page Gestionnaire de certificats.
Cliquez sur le nom de la ressource de configuration d'émission de certificats que vous souhaitez afficher. La page Configuration d'émission de certificats affiche des informations détaillées sur la ressource de configuration d'émission de certificats.
gcloud
Pour afficher l'état d'une ressource de configuration d'émission de certificats, utilisez la
certificate-manager issuance-configs describe
commande :
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Remplacez ISSUANCE_CONFIG_NAME par le nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.
API
Affichez l'état de la ressource de configuration d'émission de certificats en envoyant une requête GET à la méthode certificateIssuanceConfigs.get comme suit :
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID: ID de votre Google Cloud projet.ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.
Supprimer une ressource de configuration d'émission de certificats
Avant de supprimer une ressource de configuration d'émission de certificats, vous devez d'abord supprimer le certificat géré par Google qui y fait référence.
Pour désactiver la dernière autorité de certification que vous avez activée dans un pool d'autorités de certification référencé dans la ressource de configuration d'émission de certificats, ou pour supprimer complètement le pool d'autorités de certification, vous devez d'abord supprimer toutes les ressources de configuration d'émission de certificats qui font référence au pool d'autorités de certification.
Console
Dans la Google Cloud console, accédez à l'onglet Configurations d'émission de la page Gestionnaire de certificats.
Cochez la case de la configuration d'émission que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
Pour supprimer une ressource de configuration d'émission de certificats, utilisez la
certificate-manager issuance-configs delete
commande :
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Remplacez les éléments suivants :
ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.LOCATION: emplacement cible Google Cloud .
API
Supprimez la ressource de configuration d'émission de certificats en envoyant une requête DELETE à la méthode certificateIssuanceConfigs.delete comme suit :
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Remplacez les éléments suivants :
PROJECT_ID: ID de votre Google Cloud projet.ISSUANCE_CONFIG_NAME: nom de la ressource de configuration d'émission de certificats qui fait référence au pool d'autorités de certification cible.
Étape suivante
- Comparer les versions du gestionnaire de certificats
- Afficher l'inventaire des certificats
- Surveiller vos certificats
- Créer une configuration de confiance