Memantau sertifikat Anda

Dasbor ringkasan Certificate Manager (generasi ke-2) membantu Anda mempertahankan lingkungan sertifikat yang aman dan sehat. Anda dapat menggunakan dasbor untuk mengidentifikasi sertifikat yang akan habis masa berlakunya, mengaudit postur keamanan, dan melacak tren penerbitan.

Dasbor ringkasan mencakup diagram pemantauan berikut:

  • Jumlah sertifikat yang diterbitkan dalam 7 hari terakhir: Melacak jumlah total sertifikat yang diterbitkan selama 7 hari terakhir.
  • Sertifikat yang diterbitkan menurut jenis otoritas: Mengelompokkan sertifikat menurut jenis otoritas (publik, pribadi, atau tidak diketahui).
  • Sertifikat yang diterbitkan menurut lokasi: Mengurutkan sertifikat secara geografis menurut lokasi deployment.
  • Sertifikat yang akan habis masa berlakunya: Menampilkan sertifikat yang akan habis masa berlakunya dalam 7 dan 30 hari.

Sebelum memulai

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service, Certificate Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

    8.

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk memantau sertifikat, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Mengakses dasbor ringkasan

Untuk mengakses dasbor dan melihat metrik sertifikat, ikuti langkah-langkah berikut:

  1. Di Google Cloud Konsol, buka halaman Certificate Manager.

    Buka dasbor ringkasan Certificate Manager

  2. Opsional: Untuk menyesuaikan rentang waktu, gunakan pemilih waktu di kanan atas dasbor. Secara default, dasbor menampilkan metrik untuk 7 hari terakhir.

Data dasbor diperbarui setiap 24 jam.

Memantau kesehatan dan masa berlaku sertifikat

Dasbor menyediakan metrik yang secara khusus berfokus pada sertifikat berdurasi panjang, yaitu sertifikat dengan masa berlaku lebih dari 72 jam.

Certificate Manager (generasi ke-2) mengecualikan sertifikat berdurasi pendek (dengan masa berlaku kurang dari 72 jam) karena sertifikat tersebut sering kali menjalani rotasi otomatis dan tidak memerlukan pemantauan manual yang sama seperti sertifikat berdurasi panjang.

Untuk memantau sertifikat yang akan habis masa berlakunya dan memerlukan intervensi manual, ikuti langkah-langkah berikut:

  1. Temukan diagram Expiring certificates di dasbor.
  2. Tinjau peringatan untuk sertifikat yang akan habis masa berlakunya.
  3. Jika Anda menerima peringatan masa berlaku akan habis, telusuri inventaris Anda menggunakan identitas sertifikat untuk memverifikasi apakah sertifikat pengganti sudah ada. Untuk mengetahui informasi selengkapnya, lihat Memfilter inventaris sertifikat .

Mengaudit inventaris sertifikat

Gunakan bagian Inventory metrics di dasbor untuk mengaudit sertifikat aktif di lingkungan Anda selama rentang waktu yang dipilih.

Untuk mengaudit inventaris, tinjau sertifikat yang dikategorikan berdasarkan kriteria berikut:

  • Melihat sertifikat aktif menurut resource: Melacak volume sertifikat berdasarkan the Google Cloud resource yang menerbitkannya. Certificate Manager (generasi ke-2) mengidentifikasi sertifikat yang diterbitkan oleh identitas workload terkelola atau load balancing; sertifikat lain yang diterbitkan melalui Certificate Authority Service dikategorikan sebagai Unspecified. Untuk mengetahui informasi selengkapnya, lihat Layanan yang didukung.
  • Melihat sertifikat aktif menurut algoritma kunci: Audit standar kriptografi Anda dengan mengelompokkan sertifikat menurut algoritma kunci leaf (misalnya, RSA atau ECDSA). Langkah ini memastikan kepatuhan terhadap kebijakan keamanan organisasi Anda.
  • Melihat sertifikat aktif menurut profil penggunaan kunci: Mengelompokkan sertifikat menurut penggunaan yang dimaksudkan. Certificate Manager memberi label pada sertifikat berdasarkan profil yang paling cocok. Jika profil tidak dapat ditentukan, profil tersebut akan diberi label Other.

Untuk melihat sertifikat tertentu dalam salah satu kategori ini, klik View certificates untuk membuka halaman inventaris.

Melacak tren penerbitan sertifikat

Gunakan diagram Issuance metrics untuk memantau cara layanan yang dikonfigurasi menghasilkan sertifikat dari waktu ke waktu. Pendekatan ini membantu Anda melacak pertumbuhan dan mengidentifikasi potensi anomali penerbitan.

Untuk melacak tren penerbitan, pantau metrik berikut:

  1. Sertifikat yang diterbitkan menurut lokasi: Amati jumlah sertifikat yang diterbitkan di setiap lokasi untuk melihat distribusi geografis volume sertifikat Anda.
  2. Sertifikat yang diterbitkan menurut jenis otoritas: Amati jumlah sertifikat yang diterbitkan oleh CA publik (seperti Public Certificate Authority) dibandingkan CA pribadi (seperti CA Service).
  3. Total sertifikat yang diterbitkan: Pantau total volume sertifikat yang diterbitkan dalam rentang waktu yang dipilih untuk memahami skala lingkungan Anda.

Langkah berikutnya