Monitore seus certificados

O painel de visão geral do Certificate Manager (2ª geração) ajuda a manter um ambiente de certificados seguro e íntegro. Use o painel para identificar certificados expirados, auditar sua postura de segurança e acompanhar as tendências de emissão.

O painel de visão geral inclui os seguintes gráficos de monitoramento:

• Número de certificados emitidos nos últimos 7 dias: acompanha o número total de certificados emitidos nos últimos 7 dias.
• Certificados emitidos por tipo de autoridade: agrupa certificados por tipo de autoridade (pública, particular ou desconhecida).
• Certificados emitidos por local: classifica os certificados geograficamente por local de implantação.
• Certificados expirados: mostra os certificados que expiram em 7 e 30 dias.

Antes de começar

Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Funções exigidas

Para receber as permissões necessárias para monitorar certificados, peça para o administrador conceder a você os seguintes papéis do IAM no projeto:

• Certificate Manager Viewer (roles/certificatemanager.viewer)
• Leitor do Monitoring (roles/monitoring.viewer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Acessar o painel de visão geral

Para acessar o painel e conferir as métricas de certificado, siga estas etapas:

1. No Google Cloud console do, acesse a página Certificate Manager.

   Acessar o painel de visão geral do Certificate Manager

2. Opcional: para ajustar o período, use o seletor de horário no canto superior direito do painel. Por padrão, o painel mostra as métricas dos últimos 7 dias.

Os dados do painel são atualizados a cada 24 horas.

Monitorar a integridade e as expirações de certificados

O painel fornece métricas focadas especificamente em certificados de longa duração, que são certificados com um tempo de vida útil maior que 72 horas.

O Certificate Manager (2ª geração) exclui certificados de curta duração (com um tempo de vida útil menor que 72 horas) porque eles passam por rotação automatizada frequente e não exigem o mesmo monitoramento manual que os certificados de longa duração.

Para monitorar certificados expirados que exigem intervenção manual, siga estas etapas:

1. Localize o gráfico Certificados expirados no painel.
2. Analise os avisos de certificados que estão perto da expiração.
3. Se você receber um aviso de expiração, pesquise seu inventário usando a identidade do certificado para verificar se uma substituição já está em vigor. Para mais informações, consulte Filtrar o inventário de certificados.

Auditar o inventário de certificados

Use a seção Métricas de inventário do painel para auditar os certificados ativos no seu ambiente durante o período selecionado.

Para auditar seu inventário, analise os certificados categorizados pelos seguintes critérios:

• Conferir certificados ativos por recurso: acompanhe o volume de certificados com base em o Google Cloud recurso que os emitiu. O Certificate Manager (2ª geração) identifica certificados emitidos pela identidade da carga de trabalho gerenciada ou pelo balanceamento de carga. Outros certificados emitidos pelo Certificate Authority Service são categorizados como Não especificados. Para mais informações, consulte Serviços compatíveis.
• Conferir certificados ativos por algoritmo de chave: audite seus padrões criptográficos agrupando certificados pelo algoritmo de chave folha (por exemplo, RSA ou ECDSA). Isso garante compliance com as políticas de segurança da sua organização.
• Conferir certificados ativos por perfil de uso de chave: agrupe certificados pelo uso pretendido. O Certificate Manager rotula os certificados pelo perfil correspondente mais próximo. Se um perfil não puder ser determinado, ele será rotulado como Outro.

Para conferir os certificados específicos em qualquer uma dessas categorias, clique em Conferir certificados para abrir a página de inventário.

Acompanhar as tendências de emissão de certificados

Use o gráfico Métricas de emissão para monitorar como os serviços configurados geram certificados ao longo do tempo. Essa abordagem ajuda a acompanhar o crescimento e identificar possíveis anomalias de emissão.

Para acompanhar as tendências de emissão, monitore as seguintes métricas:

1. Certificados emitidos por local: observe o número de certificados emitidos em cada local para conferir a distribuição geográfica do volume de certificados.
2. Certificados emitidos por tipo de autoridade: observe o número de certificados emitidos por ACs públicas (como a Public Certificate Authority) em comparação com ACs particulares (como o CA Service).
3. Total de certificados emitidos: monitore o volume total de certificados emitidos no período selecionado para entender a escala do seu ambiente.

A seguir

• Como o Certificate Manager (2ª geração) funciona
• Comparar as versões do Certificate Manager
• Conferir o inventário de certificados
• Criar uma configuração de emissão
• Monitorar recursos usando o Cloud Monitoring