Buat konfigurasi penerbitan

Halaman ini menjelaskan cara membuat dan mengelola resource konfigurasi penerbitan sertifikat.

Untuk mengetahui informasi selengkapnya tentang resource konfigurasi penerbitan sertifikat, lihat Konfigurasi penerbitan sertifikat.

Membuat resource konfigurasi penerbitan sertifikat

Sebelum membuat resource konfigurasi penerbitan, konfigurasi integrasi Layanan CA dengan Certificate Manager.

Untuk membuat resource konfigurasi penerbitan sertifikat, tentukan masa berlaku sertifikat, persentase periode rotasi, algoritma kunci, dan kumpulan CA yang akan digunakan.

Meskipun Anda menggunakan kumpulan CA regional untuk menerbitkan sertifikat TLS yang dikelola Google, sertifikat tersebut dapat digunakan secara global.

Konsol

  1. Di Google Cloud konsol, buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik Create. Halaman Create a Certificate Issuance Config akan muncul.

  3. Di kolom Name, masukkan nama unik untuk resource konfigurasi penerbitan sertifikat.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk konfigurasi penerbitan.

  5. Untuk Location, pilih Global atau Regional. Jika Anda memilih Regional, pilih Region yang sama dengan sertifikat dan kumpulan CA Anda.

  6. Di kolom Lifetime, tentukan masa berlaku sertifikat yang diterbitkan dalam beberapa hari. Nilai harus antara 21 hingga 30 hari (inklusif).

  7. Untuk Rotation window percentage, tentukan persentase masa berlaku sertifikat saat proses perbaruannya dimulai. Untuk menemukan rentang nilai yang valid, lihat Masa berlaku dan Persentase periode rotasi.

  8. Dari daftar Key algorithm, pilih algoritma kunci yang akan digunakan saat membuat kunci pribadi.

  9. Dari daftar CA pool, pilih nama kumpulan CA yang akan ditetapkan ke resource konfigurasi penerbitan sertifikat ini.

  10. Di kolom Labels, tentukan label yang akan dikaitkan dengan sertifikat. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  11. Klik Create.

gcloud

Untuk membuat resource konfigurasi penerbitan sertifikat, gunakan certificate-manager issuance-configs create perintah:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • CA_POOL: jalur dan nama resource lengkap kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam beberapa hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut . Nilai default-nya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase sisa masa berlaku sertifikat sebelum perpanjangan. Nilai default-nya adalah 66%. Untuk menemukan rentang nilai yang valid, lihat [Masa berlaku dan Persentase periode rotasi](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai default-nya adalah rsa-2048. Flag ini bersifat opsional.
  • LOCATION: the target Google Cloud location.

API

Buat resource konfigurasi penerbitan sertifikat dengan membuat permintaan POST ke metode certificateIssuanceConfigs.create sebagai berikut:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ganti kode berikut:

  • PROJECT_ID: ID project Anda Google Cloud .
  • LOCATION: the target Google Cloud location.
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi penerbitan sertifikat.
  • CA_POOL: jalur dan nama resource lengkap kumpulan CA yang ingin Anda tetapkan ke resource konfigurasi penerbitan sertifikat.
  • CERTIFICATE_LIFETIME: masa berlaku sertifikat dalam beberapa hari. Nilai yang valid adalah dari 21 hingga 30 hari dalam format durasi absolut . Nilai default-nya adalah 30 hari (30D). Flag ini bersifat opsional.
  • ROTATION_WINDOW_PERCENTAGE: persentase sisa masa berlaku sertifikat sebelum perpanjangan. Nilai default-nya adalah 66%. Untuk menemukan rentang nilai yang valid, lihat [Masa berlaku dan Persentase periode rotasi](#lifetime-rotation-percentage). Flag ini bersifat opsional.
  • KEY_ALGORITHM: algoritma enkripsi yang digunakan untuk membuat kunci pribadi. Nilai yang valid adalah ecdsa-p256 atau rsa-2048. Nilai default-nya adalah rsa-2048. Flag ini bersifat opsional.

Masa berlaku dan Persentase periode rotasi

Saat membuat resource konfigurasi penerbitan sertifikat, Anda juga menentukan masa berlaku sertifikat di kolom Lifetime, dan kapan proses perpanjangan sertifikat dimulai sebelum masa berlakunya berakhir di kolom Rotation window percentage.

Untuk memastikan sertifikat diperpanjang setidaknya tujuh hari sebelum masa berlakunya berakhir dan tujuh hari setelah penerbitannya, tetapkan persentase periode rotasi relatif terhadap masa berlaku sertifikat. Untuk menghitung rentang yang diizinkan untuk persentase periode rotasi, gunakan rumus berikut:

  • Nilai minimum: Persentase periode rotasi ≥ (7 / Masa berlaku) * 100
  • Nilai maksimum: Persentase periode rotasi ≤ ( (Masa berlaku - 7) / Masa berlaku) * 100

Dalam rumus sebelumnya, 7 adalah tujuh hari.

Jika nilai minimum adalah nilai desimal, bulatkan ke atas ke bilangan bulat terdekat. Jika nilai maksimum adalah nilai desimal, bulatkan ke bawah ke bilangan bulat terdekat.

Memperbarui konfigurasi penerbitan sertifikat

Saat memperbarui konfigurasi penerbitan sertifikat, Anda dapat melakukan hal berikut:

  • Menentukan label baru
  • Menentukan deskripsi baru

gcloud

Untuk memperbarui resource konfigurasi penerbitan sertifikat, gunakan certificate-manager issuance-configs update perintah:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • LABELS: label yang ingin Anda tentukan untuk konfigurasi penerbitan sertifikat. Label harus ditentukan dalam daftar yang dipisahkan koma sebagai pasangan KEY=VALUE. Kolom ini bersifat opsional.
  • DESCRIPTION: deskripsi konfigurasi penerbitan sertifikat. Kolom ini bersifat opsional.

API

Gunakan metode certificateIssuanceConfigs.patch untuk memperbarui konfigurasi penerbitan sertifikat:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Ganti kode berikut:

  • PROJECT_ID: ID project Anda Google Cloud .
  • ISSUANCE_CONFIG_NAME: nama konfigurasi penerbitan sertifikat target yang ingin Anda perbarui.
  • LABEL_KEY: kunci label. Kolom ini bersifat opsional.
  • LABEL_VALUE: nilai label. Kolom ini bersifat opsional.
  • DESCRIPTION: konfigurasi penerbitan sertifikat.

Mencantumkan konfigurasi penerbitan sertifikat

Anda dapat melihat semua resource konfigurasi penerbitan sertifikat project Anda dan detailnya.

Konsol

  1. Di Google Cloud konsol, buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

    Di tab Issuance configs, semua resource konfigurasi penerbitan sertifikat yang dikelola oleh Certificate Manager di project yang dipilih akan ditampilkan.

gcloud

Untuk mencantumkan resource konfigurasi penerbitan sertifikat, gunakan certificate-manager issuance-configs list perintah:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Ganti kode berikut:

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • LIMIT: jumlah maksimum hasil yang ingin Anda tampilkan

  • SORT_BY: daftar kolom name yang dipisahkan koma dan digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

  • LOCATION: the target Google Cloud location.

API

Cantumkan resource konfigurasi penerbitan sertifikat yang dikonfigurasi dengan membuat permintaan LIST ke metode certificateIssuanceConfigs.list sebagai berikut:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID project Anda Google Cloud .

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • SORT_BY: daftar kolom name yang dipisahkan koma dan digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

Melihat status resource konfigurasi penerbitan sertifikat

Konsol

  1. Di Google Cloud konsol, buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik nama resource konfigurasi penerbitan sertifikat yang ingin Anda lihat. Halaman Certificate Issuance Config menampilkan informasi mendetail tentang resource konfigurasi penerbitan sertifikat.

gcloud

Untuk melihat status resource konfigurasi penerbitan sertifikat, gunakan certificate-manager issuance-configs describe perintah:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ganti ISSUANCE_CONFIG_NAME dengan nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

API

Lihat status resource konfigurasi penerbitan sertifikat dengan membuat permintaan GET ke metode certificateIssuanceConfigs.get sebagai berikut:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Anda Google Cloud .
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Menghapus resource konfigurasi penerbitan sertifikat

Sebelum menghapus resource konfigurasi penerbitan sertifikat, Anda harus terlebih dahulu menghapus sertifikat yang dikelola Google yang mereferensikan nya.

Untuk menonaktifkan CA terakhir yang Anda aktifkan dalam kumpulan CA yang direferensikan dalam resource konfigurasi penerbitan sertifikat, atau untuk menghapus kumpulan CA sepenuhnya, Anda harus menghapus semua resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA terlebih dahulu.

Konsol

  1. Di Google Cloud konsol, buka tab Issuance configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Centang kotak konfigurasi penerbitan yang ingin Anda hapus.

  3. Klik Delete.

  4. Di dialog yang muncul, klik Delete untuk mengonfirmasi.

gcloud

Untuk menghapus resource konfigurasi penerbitan sertifikat, gunakan certificate-manager issuance-configs delete perintah:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Ganti kode berikut:

  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.
  • LOCATION: the target Google Cloud location.

API

Hapus resource konfigurasi penerbitan sertifikat dengan membuat permintaan DELETE ke metode certificateIssuanceConfigs.delete sebagai berikut:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project Anda Google Cloud .
  • ISSUANCE_CONFIG_NAME: nama resource konfigurasi penerbitan sertifikat yang mereferensikan kumpulan CA target.

Langkah berikutnya