Gérer les certificats

Cette page explique comment utiliser le Gestionnaire de certificats pour créer et gérer des certificats TLS (Transport Layer Security), anciennement SSL.

Pour en savoir plus, consultez Certificats TLS acceptés.

Créer un certificat géré par Google

Le gestionnaire de certificats vous permet de créer des certificats gérés par Google de différentes manières :

  • Certificats gérés par Google avec autorisation d'équilibreur de charge (global)
  • Certificats gérés par Google avec autorisation DNS (globaux, régionaux et multirégionaux)
  • Certificats gérés par Google avec Certificate Authority Service (CA Service) (globaux, régionaux et multirégionaux)

Autorisation d'équilibreur de charge

L'autorisation de l'équilibreur de charge vous permet d'obtenir un certificat géré par Google pour votre domaine lorsque le trafic est diffusé par l'équilibreur de charge. Cette méthode ne nécessite aucun enregistrement DNS supplémentaire pour le provisionnement des certificats. Vous pouvez utiliser des autorisations d'équilibreur de charge pour les nouveaux environnements sans trafic existant. Pour savoir quand utiliser l'autorisation d'équilibreur de charge avec un certificat géré par Google, consultez Types d'autorisation de domaine pour les certificats gérés par Google.

Vous ne pouvez créer des certificats gérés par Google avec une autorisation d'équilibreur de charge que dans l'emplacement global. Les certificats autorisés par l'équilibreur de charge ne sont pas compatibles avec les domaines comprenant des caractères génériques.

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif : Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Dans Emplacement, sélectionnez Mondial.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes :

    • Par défaut : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Cache périphérique : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Vous ne pouvez pas utiliser l'autorisation de l'équilibreur de charge avec un emplacement régional ni avec le champ d'application Toutes les régions.

  7. Dans le champ Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Dans le champ Type d'autorité de certification, sélectionnez Publique.

  9. Dans le champ Noms de domaine, spécifiez une liste de noms de domaine du certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.

  10. Pour Type d'autorisation, sélectionnez Autorisation de l'équilibreur de charge.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat global géré par Google avec autorisation de l'équilibreur de charge, utilisez la commande certificate-manager certificates create :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAMES : liste des domaines cibles séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Utilisez une ressource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez Commandes Terraform de base.

API

Créez le certificat en envoyant une requête POST à la méthode certificates.create comme suit :

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAMES : liste des domaines cibles séparés par une virgule. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Autorisation DNS

Pour utiliser des certificats gérés par Google avant que votre environnement de production ne soit prêt, vous pouvez les provisionner avec des autorisations DNS. Pour savoir quand utiliser l'autorisation DNS avec un certificat géré par Google, consultez Types d'autorisation de domaine pour les certificats gérés par Google.

Pour gérer indépendamment les certificats dans plusieurs projets, vous pouvez utiliser l'autorisation DNS par projet. Pour savoir comment créer des certificats avec une autorisation DNS par projet, consultez Créer une autorisation DNS.

Avant de créer le certificat, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif : Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes :

    • Par défaut : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Cache périphérique : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement Régional.

  7. Dans le champ Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Dans le champ Type d'autorité de certification, sélectionnez Publique.

  9. Dans le champ Noms de domaine, spécifiez une liste de noms de domaine du certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com. Le nom de domaine peut également être un nom de domaine générique, tel que *.example.com.

  10. Pour Type d'autorisation, sélectionnez Autorisation DNS.

    La page liste les autorisations DNS des noms de domaine. Si un nom de domaine n'est pas associé à une autorisation DNS, procédez comme suit pour en créer une :

    1. Cliquez sur Créer une autorisation DNS manquante.
    2. Dans le champ Nom de l'autorisation DNS, spécifiez le nom de l'autorisation DNS. Le type d'autorisation DNS par défaut est FIXED_RECORD. Pour gérer indépendamment les certificats dans plusieurs projets, cochez la case Autorisation par projet.
    3. Cliquez sur Créer une autorisation DNS.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat géré par Google avec une autorisation DNS, exécutez la commande certificate-manager certificates create :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAME : nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com, ou un domaine générique, tel que *.myorg.example.com. Le préfixe d'astérisque et de point (*.) indique un certificat générique.
  • AUTHORIZATION_NAMES : liste des noms des autorisations DNS, séparés par une virgule.
  • LOCATION : emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Utilisez une ressource google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Créez le certificat en envoyant une requête POST à la méthode certificates. create comme suit :

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible.
  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAME : nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • ISSUANCE_CONFIG_NAME : nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Émis par CA Service

Vous pouvez intégrer Certificate Manager à CA Service pour émettre des certificats gérés par Google. Pour émettre des certificats gérés par Google mondiaux, vous devez utiliser un pool d'autorités de certification régionales dans n'importe quelle région. Pour émettre des certificats régionaux gérés par Google, vous devez utiliser un pool d'autorités de certification dans la même région que votre certificat.

Avant de créer le certificat, configurez l'intégration du service CA à Certificate Manager.

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif : Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes :

    • Par défaut : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Cache périphérique : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement Régional.

  7. Dans le champ Type de certificat, sélectionnez Créer un certificat géré par Google.

  8. Pour Type d'autorité de certification, sélectionnez Privée.

  9. Dans le champ Noms de domaine, spécifiez une liste de noms de domaine du certificat, séparés par des virgules. Chaque nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.

  10. Sous Sélectionner une configuration d'émission de certificats, sélectionnez le nom de la ressource de configuration d'émission de certificats faisant référence au pool d'AC cible.

  11. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  12. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat géré par Google avec Certificate Authority Service, utilisez la commande certificate-manager certificates create :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAME : nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com, ou un domaine générique, tel que *.myorg.example.com. Le préfixe d'astérisque et de point (*.) indique un certificat générique.
  • ISSUANCE_CONFIG_NAME : nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • LOCATION : emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

API

Créez le certificat en envoyant une requête POST à la méthode certificates.create comme suit :

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible.
  • CERTIFICATE_NAME : nom du certificat.
  • DOMAIN_NAME : nom du domaine cible. Le nom de domaine doit être un nom de domaine complet, tel que myorg.example.com.
  • ISSUANCE_CONFIG_NAME : nom de la ressource de configuration d'émission de certificat qui fait référence au pool d'autorités de certification cible.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Importer un certificat autogéré

Pour importer un certificat autogéré, importez le fichier de certificat (CRT) et le fichier de clé privée (KEY) correspondant. Vous pouvez importer des certificats TLS (SSL) X.509 globaux et régionaux des types suivants :

  • Certificats générés par des autorités de certification (CA) tierces de votre choix.
  • Certificats générés par des autorités de certification que vous contrôlez.
  • Certificats autosignés, comme décrit dans Créer une clé privée et un certificat.

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cliquez sur Ajouter un certificat.

  3. Dans le champ Nom du certificat, saisissez un nom unique pour le certificat.

  4. Facultatif : Dans le champ Description, saisissez une description du certificat. La description vous permet d'identifier le certificat.

  5. Pour Emplacement, sélectionnez Mondial ou Régional.

    Si vous avez sélectionné Régional, sélectionnez votre région dans la liste Région.

  6. Pour Champ d'application, sélectionnez l'une des options suivantes :

    • Par défaut : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • Toutes les régions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • Cache périphérique : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

    Le champ Champ d'application n'est pas disponible si vous avez sélectionné un emplacement Régional.

  7. Pour Type de certificat, sélectionnez Créer un certificat autogéré.

  8. Pour le champ Certificat, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre fichier de certificat au format PEM.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.

  9. Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer et sélectionnez votre clé privée. Votre clé privée doit être au format PEM et non protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.

  10. Dans le champ Libellés, spécifiez les libellés à associer au certificat. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.

  11. Cliquez sur Créer.

    Le nouveau certificat apparaît dans la liste des certificats.

gcloud

Pour créer un certificat autogéré, utilisez la commande certificate-manager certificates create :

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • CERTIFICATE_FILE : chemin d'accès et nom du fichier de certificat CRT.
  • PRIVATE_KEY_FILE : chemin d'accès et nom du fichier de clé privée KEY.
  • LOCATION : emplacement Google Cloud cible. La valeur par défaut est global.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Terraform

Pour importer un certificat autogéré, vous pouvez utiliser une ressource google_certificate_manager_certificate avec le bloc self_managed.

API

Importez le certificat en envoyant une requête POST à la méthode certificates.create comme suit :

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible.
  • CERTIFICATE_NAME : nom du certificat.
  • PEM_CERTIFICATE : PEM du certificat.
  • PEM_KEY : clé PEM.
  • SCOPE : saisissez l'une des options suivantes :
    • default : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application externe global ou un équilibreur de charge réseau proxy externe global.
    • all-regions : si vous prévoyez d'utiliser le certificat avec un équilibreur de charge d'application interne interrégional.
    • edge-cache : si vous prévoyez d'utiliser le certificat avec Media CDN et de spécifier plusieurs domaines dans le certificat.

Mettre à jour un certificat

Vous pouvez mettre à jour un certificat existant sans modifier ses attributions aux noms de domaine dans la cartographie de certificat correspondante. Lorsque vous mettez à jour un certificat, assurez-vous que les SAN du nouveau certificat correspondent exactement à ceux du certificat existant.

Certificats gérés par Google

Pour les certificats gérés par Google, vous ne pouvez modifier que la description et les libellés d'un certificat.

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, recherchez le certificat que vous souhaitez mettre à jour, puis cliquez sur son nom. La page Informations détaillées sur le certificat affiche des informations détaillées sur le certificat sélectionné.

  3. Cliquez sur Modifier. La page Modifier le certificat s'affiche.

  4. Facultatif : Dans le champ Description, saisissez une nouvelle description pour le certificat.

  5. Facultatif : Vous pouvez ajouter, supprimer ou modifier les libellés associés au certificat. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.

  6. Cliquez sur Enregistrer. Sur la page Détails du certificat qui s'affiche, vérifiez que le certificat a été mis à jour.

gcloud

Pour mettre à jour un certificat géré par Google, utilisez la commande certificate-manager certificates update :

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • DESCRIPTION : description unique du certificat.
  • LABELS : liste d'étiquettes appliquées à ce certificat, séparées par des virgules.

API

Mettez à jour le certificat en envoyant une requête PATCH à la méthode certificates.patch comme suit :

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • CERTIFICATE_NAME : nom du certificat.
  • DESCRIPTION : description du certificat.
  • LABEL_KEY : clé de libellé appliquée au certificat.
  • LABEL_VALUE : valeur de libellé appliquée au certificat.

Certificats autogérés

Pour mettre à jour un certificat autogéré, vous devez importer les fichiers encodés au format PEM suivants :

  • Fichier CRT du certificat

  • Le fichier KEY de clé privée correspondant

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, recherchez le certificat que vous souhaitez mettre à jour, puis cliquez sur son nom. La page Informations détaillées sur le certificat affiche des informations détaillées sur le certificat sélectionné.

  3. Cliquez sur Modifier. La page Modifier le certificat s'affiche.

  4. Facultatif : Dans le champ Description, saisissez une nouvelle description pour le certificat.

  5. Facultatif : Pour le champ Certificat, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer, puis sélectionnez votre fichier de certificat au format PEM.
    • Copiez et collez le contenu d'un certificat au format PEM. Le contenu doit commencer par -----BEGIN CERTIFICATE----- et se terminer par -----END CERTIFICATE-----.

  6. Facultatif : Pour le champ Certificat de clé privée, effectuez l'une des opérations suivantes :

    • Cliquez sur le bouton Importer, puis sélectionnez votre clé privée. Votre clé privée doit être au format PEM et ne doit pas être protégée par une phrase secrète.
    • Copiez et collez le contenu d'une clé privée au format PEM. Les clés privées doivent commencer par -----BEGIN PRIVATE KEY----- et se terminer par -----END PRIVATE KEY-----.

  7. Facultatif : Vous pouvez ajouter, supprimer ou modifier les libellés associés au certificat. Pour ajouter un libellé, cliquez sur le bouton Ajouter un libellé, puis spécifiez un key et un value pour votre libellé.

  8. Cliquez sur Enregistrer. Sur la page Détails du certificat qui s'affiche, vérifiez que le certificat a été mis à jour.

gcloud

Pour mettre à jour un certificat autogéré, utilisez la commande certificate-manager certificates update :

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • CERTIFICATE_FILE : chemin d'accès et nom du fichier de certificat CRT.
  • PRIVATE_KEY_FILE : chemin d'accès et nom du fichier de clé privée KEY.
  • DESCRIPTION : valeur de description unique pour ce certificat.
  • LABELS : liste d'étiquettes appliquées à ce certificat, séparées par des virgules.
  • LOCATION : emplacement Google Cloud cible. Cette option est facultative. Spécifiez cet indicateur uniquement pour les certificats régionaux.

API

Mettez à jour le certificat en envoyant une requête PATCH à la méthode certificates.patch comme suit :

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible. Cette option est facultative. Spécifiez cet indicateur uniquement pour les certificats régionaux.
  • CERTIFICATE_NAME : nom du certificat.
  • PEM_CERTIFICATE : PEM du certificat.
  • PEM_KEY : clé PEM.
  • DESCRIPTION : description pertinente du certificat.
  • LABEL_KEY : clé de libellé appliquée au certificat.
  • LABEL_VALUE : valeur de libellé appliquée au certificat.

Lister les certificats

Vous pouvez consulter tous les certificats de votre projet et leurs détails, tels que la région, les noms d'hôte, la date d'expiration et le type.

Console

La page Gestionnaire de certificats de la console Google Cloud peut afficher jusqu'à 10 000 certificats. Si votre projet contient plus de 10 000 certificats gérés par Certificate Manager, utilisez la commande gcloud CLI.

Pour afficher les certificats provisionnés par le gestionnaire de certificats :

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Cliquez sur l'onglet Certificats. Cet onglet répertorie tous les certificats gérés par Certificate Manager dans le projet sélectionné.

Pour afficher les certificats provisionnés via Cloud Load Balancing :

  1. Dans la console Google Cloud , accédez à l'onglet Certificats classiques de la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats classiques, vous pouvez afficher la liste de tous les certificats classiques configurés dans le projet sélectionné.

    Les certificats classiques ne sont pas gérés par le gestionnaire de certificats. Pour en savoir plus sur la façon de les gérer, consultez la documentation sur l'utilisation des certificats gérés par Google ou l'utilisation des certificats autogérés.

gcloud

Pour lister les certificats, utilisez la commande certificate-manager certificates list :

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Remplacez les éléments suivants :

  • LOCATION : emplacement Google Cloud cible. Pour lister les certificats de toutes les régions, utilisez - comme valeur. La valeur par défaut est -. Cette option est facultative.

  • FILTER : expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, vous pouvez filtrer les résultats selon les critères suivants :

    • Date/Heure d'expiration : --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Noms DNS SAN : --filter='san_dnsnames:"example.com"'
    • État du certificat : --filter='managed.state=FAILED'
    • Type de certificat : --filter='managed:*'
    • Libellés et heure de création : --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation Cloud Key Management Service.

  • PAGE_SIZE : nombre de résultats à renvoyer par page.

  • LIMIT : nombre maximal de résultats à renvoyer.

  • SORT_BY : liste de champs name séparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.

API

Listez les certificats en envoyant une requête LIST à la méthode certificates.list comme suit :

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible. Pour lister les certificats de toutes les régions, utilisez - comme valeur.

  • FILTER : expression qui limite les résultats renvoyés à des valeurs spécifiques.

    Par exemple, vous pouvez filtrer les résultats selon les critères suivants :

    • Date/Heure d'expiration : --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Noms DNS SAN : --filter='san_dnsnames:"example.com"'
    • État du certificat : --filter='managed.state=FAILED'
    • Type de certificat : --filter='managed:*'

    • Libellés et heure de création : --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation de Cloud Key Management Service.

  • PAGE_SIZE : nombre de résultats à renvoyer par page.

  • SORT_BY : liste de champs name séparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.

Afficher l'état d'un certificat

Vous pouvez afficher l'état d'un certificat existant, y compris son état de provisionnement et d'autres informations détaillées.

Console

Si votre projet contient plus de 10 000 certificats gérés par Certificate Manager, la page Certificate Manager de la consoleGoogle Cloud ne les listera pas. Utilisez plutôt la commande gcloud CLI. Toutefois, si vous disposez d'un lien direct vers la page Détails du certificat, vous pouvez afficher ses détails dans la console Google Cloud .

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Sur la page qui s'affiche, sélectionnez l'onglet Certificats.

  3. Dans l'onglet Certificats, accédez au certificat cible, puis cliquez sur son nom. La page Informations détaillées sur le certificat affiche des informations détaillées sur le certificat sélectionné.

  4. Facultatif : Pour afficher la réponse REST de l'API Certificate Manager pour ce certificat, cliquez sur REST équivalent.

  5. Facultatif : Si le certificat est associé à une configuration d'émission de certificat que vous souhaitez afficher, cliquez sur le nom de la ressource de configuration d'émission de certificat associée dans le champ Configuration d'émission. La console Google Cloud affiche la configuration complète de l'émission de certificats.

gcloud

Pour afficher l'état d'un certificat, utilisez la commande certificate-manager certificates describe :

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • LOCATION : emplacement Google Cloud cible. L'emplacement par défaut est global. Cette option est facultative.

API

Affichez l'état du certificat en envoyant une requête GET à la méthode certificates.get comme suit :

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible.
  • CERTIFICATE_NAME : nom du certificat.

Supprimer un certificat

Avant de supprimer un certificat, supprimez-le de toutes les entrées de mappage de certificat qui y font référence. Sinon, la suppression échouera. Pour en savoir plus, consultez Supprimer une entrée de cartographie des certificats.

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Manager.

    Accéder au Gestionnaire de certificats

  2. Dans l'onglet Certificats, cochez la case du certificat que vous souhaitez supprimer.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.

gcloud

Pour supprimer un certificat, utilisez la commande certificate-manager certificates delete :

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Remplacez les éléments suivants :

  • CERTIFICATE_NAME : nom du certificat.
  • LOCATION : emplacement Google Cloud cible. L'emplacement par défaut est global. Cette option est facultative.

API

Supprimez le certificat en envoyant une requête DELETE à la méthode certificates.delete comme suit :

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet Google Cloud .
  • LOCATION : emplacement Google Cloud cible.
  • CERTIFICATE_NAME : nom du certificat.

Étapes suivantes