Surveiller vos certificats

Le tableau de bord de présentation du Certificate Manager (2e génération) vous aide à maintenir un environnement de certificats sécurisé et sain. Vous pouvez l'utiliser pour identifier les certificats arrivant à expiration, auditer votre niveau de sécurité et suivre les tendances d'émission.

Le tableau de bord de présentation comprend les graphiques de surveillance suivants :

  • Nombre de certificats émis au cours des sept derniers jours : suit le nombre total de certificats émis au cours des sept derniers jours.
  • Certificats émis par type d'autorité : regroupe les certificats par type d'autorité (publique, privée ou inconnue).
  • Certificats émis par emplacement : trie les certificats géographiquement par emplacement de déploiement.
  • Certificats arrivant à expiration : affiche les certificats arrivant à expiration dans 7 et 30 jours.

Avant de commencer

  1. Connectez-vous à votre Google Cloud compte. Si vous n'avez jamais utilisé Google Cloud, créez un compte pour évaluer les performances de nos produits dans des scénarios réels. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Rôles requis

Pour obtenir les autorisations nécessaires pour surveiller les certificats, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Accéder au tableau de bord de présentation

Pour accéder au tableau de bord et afficher les métriques de vos certificats, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Gestionnaire de certificats.

    Accéder au tableau de bord de présentation du gestionnaire de certificats

  2. Facultatif : Pour ajuster la période, utilisez le sélecteur de temps en haut à droite du tableau de bord. Par défaut, le tableau de bord affiche les métriques des sept derniers jours.

Les données du tableau de bord sont mises à jour toutes les 24 heures.

Surveiller l'état et l'expiration des certificats

Le tableau de bord fournit des métriques spécifiquement axées sur les certificats de longue durée, c'est-à-dire les certificats dont la durée de vie est supérieure à 72 heures.

Le gestionnaire de certificats (2e génération) exclut les certificats de courte durée (dont la durée de vie est inférieure à 72 heures), car ils font l'objet d'une rotation automatisée fréquente et ne nécessitent pas la même surveillance manuelle que les certificats de longue durée.

Pour surveiller les certificats arrivant à expiration qui nécessitent une intervention manuelle, procédez comme suit :

  1. Recherchez le graphique Certificats arrivant à expiration dans le tableau de bord.
  2. Consultez les avertissements concernant les certificats arrivant à expiration.
  3. Si vous recevez un avertissement d'expiration, recherchez dans votre inventaire à l'aide de l'identité du certificat pour vérifier si un remplacement est déjà en place. Pour en savoir plus, consultez Filtrer l'inventaire des certificats .

Auditer votre inventaire de certificats

Utilisez la section Métriques d'inventaire du tableau de bord pour auditer les certificats actifs dans votre environnement pendant la période sélectionnée.

Pour auditer votre inventaire, examinez les certificats classés selon les critères suivants :

  • Afficher les certificats actifs par ressource : suivez le volume de certificats en fonction de la Google Cloud ressource qui les a émis. Le gestionnaire de certificats (2e génération) identifie les certificats émis par une identité de charge de travail gérée ou un équilibrage de charge. Les autres certificats émis via Certificate Authority Service sont classés comme Non spécifiés. Pour en savoir plus, consultez Services compatibles.
  • Afficher les certificats actifs par algorithme de clé : auditez vos normes de chiffrement en regroupant les certificats par algorithme de clé de feuille (par exemple, RSA ou ECDSA). Cela garantit la conformité aux règles de sécurité de votre organisation.
  • Afficher les certificats actifs par profil d'utilisation de clé : regroupez les certificats par utilisation prévue. Le gestionnaire de certificats étiquette les certificats en fonction du profil le plus proche. Si un profil ne peut pas être déterminé, il est étiqueté comme Autre.

Pour afficher les certificats spécifiques dans l'une de ces catégories, cliquez sur Afficher les certificats pour ouvrir la page d'inventaire.

Suivre les tendances d'émission de certificats

Utilisez le graphique Métriques d'émission pour surveiller la façon dont vos services configurés génèrent des certificats au fil du temps. Cette approche vous permet de suivre la croissance et d'identifier les anomalies d'émission potentielles.

Pour suivre les tendances d'émission, surveillez les métriques suivantes :

  1. Certificats émis par emplacement : observez le nombre de certificats émis dans chaque emplacement pour voir la répartition géographique du volume de vos certificats.
  2. Certificats émis par type d'autorité : observez le nombre de certificats émis par des AC publiques (telles que Public Certificate Authority) par rapport aux AC privées (telles que CA Service).
  3. Total des certificats émis : surveillez le volume total de certificats émis au cours de la période sélectionnée pour comprendre l'échelle de votre environnement.

Étape suivante