Gerenciar certificados

Nesta página, descrevemos como usar o Gerenciador de certificados para criar e gerenciar certificados Transport Layer Security (TLS), antes chamado de SSL.

Para mais informações, consulte Certificados TLS compatíveis.

Criar um certificado gerenciado pelo Google

Com o Gerenciador de certificados, é possível criar certificados gerenciados pelo Google das seguintes maneiras:

  • Certificados gerenciados pelo Google com autorização do balanceador de carga (global)
  • Certificados gerenciados pelo Google com autorização de DNS (global, regional e entre regiões)
  • Certificados gerenciados pelo Google com o Certificate Authority Service (serviço de AC) (global, regional e entre regiões)

Autorização do balanceador de carga

Com a autorização do balanceador de carga, é possível receber um certificado gerenciado pelo Google para seu domínio quando o tráfego é veiculado pelo balanceador de carga. Esse método não exige registros DNS adicionais para o provisionamento de certificados. É possível usar autorizações de balanceador de carga para novos ambientes sem tráfego. Para informações sobre quando usar a autorização do balanceador de carga com um certificado gerenciado pelo Google, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.

É possível criar certificados gerenciados pelo Google com autorização do balanceador de carga apenas no local global. Os certificados autorizados do balanceador de carga não são compatíveis com domínios curinga.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Cache de borda: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

    Não é possível usar a autorização do balanceador de carga com um local Regional ou o escopo Todas as regiões.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade de certificação, selecione Pública.

  9. No campo Nomes de domínio, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

  10. Em Tipo de autorização, selecione Autorização do balanceador de carga.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista.

gcloud

Para criar um certificado global gerenciado pelo Google com autorização do balanceador de carga, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Terraform

Use um google_certificate_manager_certificate recurso.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAMES: uma lista delimitada por vírgulas dos domínios de destino. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Autorização de DNS

Para usar certificados gerenciados pelo Google antes que seu ambiente de produção esteja pronto, provisione-os com autorizações de DNS. Para saber quando usar a autorização de DNS com um certificado gerenciado pelo Google, consulte Tipos de autorização de domínio para certificados gerenciados pelo Google.

Para gerenciar certificados de forma independente em vários projetos, use a autorização de DNS por projeto. Para informações sobre como criar certificados com autorização de DNS por projeto, consulte Criar uma autorização de DNS.

Antes de criar o certificado, faça o seguinte:

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, escolha sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Cache de borda: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade de certificação, selecione Pública.

  9. No campo Nomes de domínio, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com. O nome de domínio também pode ser um nome de domínio curinga, como *.example.com.

  10. Em Tipo de autorização, selecione Autorização de DNS.

    A página lista as autorizações de DNS dos nomes de domínio. Se um nome de domínio não tiver uma autorização de DNS associada, siga estas etapas para criar uma:

    1. Clique em Criar autorização de DNS ausente.
    2. No campo Nome da autorização DNS, especifique o nome da autorização DNS. O tipo de autorização de DNS padrão é FIXED_RECORD. Para gerenciar certificados de forma independente em vários projetos, marque a caixa de seleção Autorização por projeto.
    3. Clique em Criar autorização de DNS.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista.

gcloud

Para criar um certificado gerenciado pelo Google com autorização de DNS, execute o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto e asterisco (*.) significa um certificado curinga.
  • AUTHORIZATION_NAMES: uma lista separada por vírgulas dos nomes das autorizações de DNS.
  • LOCATION: o Google Cloud local de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Terraform

Use um recurso google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crie o certificado fazendo uma solicitação POST ao método certificates. create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Emitido pelo serviço de CA

É possível integrar o Certificate Manager ao CA Service para emitir certificados gerenciados pelo Google. Para emitir certificados globais gerenciados pelo Google, use um pool de CAs regionais em qualquer região. Para emitir certificados regionais gerenciados pelo Google, use um pool de CAs na mesma região do certificado.

Antes de criar o certificado, configure a integração do serviço de CA com o Certificate Manager.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, escolha sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Cache de borda: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado gerenciado pelo Google.

  8. Em Tipo de autoridade de certificação, selecione Privada.

  9. No campo Nomes de domínio, especifique uma lista delimitada por vírgulas de nomes de domínio do certificado. Cada nome de domínio precisa ser totalmente qualificado, como myorg.example.com.

  10. Em Selecione uma configuração de emissão de certificados, escolha o nome do recurso de configuração de emissão de certificados que faz referência ao pool de CA de destino.

  11. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  12. Clique em Criar.

    O novo certificado aparece na lista.

gcloud

Para criar um certificado gerenciado pelo Google com o Certificate Authority Service, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser um nome de domínio totalmente qualificado, como myorg.example.com, ou um domínio curinga, como *.myorg.example.com. O prefixo de ponto e asterisco (*.) significa um certificado curinga.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • LOCATION: o Google Cloud local de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

API

Crie o certificado fazendo uma solicitação POST ao método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • DOMAIN_NAME: o nome do domínio de destino. O nome de domínio precisa ser totalmente qualificado, como myorg.example.com.
  • ISSUANCE_CONFIG_NAME: o nome do recurso de configuração de emissão de certificados que faz referência ao pool de ACs de destino.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Fazer upload de um certificado autogerenciado

Para fazer upload de um certificado autogerenciado, carregue o arquivo de certificado (CRT) e o arquivo de chave privada (KEY) correspondente. É possível fazer upload de certificados X.509 TLS (SSL) globais e regionais dos seguintes tipos:

  • Certificados gerados por autoridades de certificação (CAs) de terceiros de sua escolha.
  • Certificados gerados por autoridades de certificação que você controla.
  • Certificados autoassinados, conforme descrito em Criar uma chave privada e um certificado.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, clique em Adicionar certificado.

  3. No campo Nome do certificado, insira um nome exclusivo para o certificado.

  4. Opcional: no campo Descrição, insira uma descrição para o certificado. A descrição permite identificar o certificado.

  5. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, escolha sua região na lista Região.

  6. Em Escopo, selecione uma das seguintes opções:

    • Padrão: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • Todas as regiões: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • Cache de borda: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

    O campo Escopo não está disponível se você selecionou um local Regional.

  7. Em Tipo de certificado, selecione Criar certificado autogerenciado.

  8. No campo Certificado, faça uma das seguintes ações:

    • Clique no botão Fazer upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  9. No campo Certificado de chave privada, faça uma das seguintes ações:

    • Clique no botão Upload e selecione sua chave privada. Ela precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  10. No campo Rótulos, especifique os rótulos a serem associados ao certificado. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  11. Clique em Criar.

    O novo certificado aparece na lista.

gcloud

Para criar um certificado autogerenciado, use o comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada KEY.
  • LOCATION: o Google Cloud local de destino. O padrão é global.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Terraform

Para fazer upload de um certificado autogerenciado, use um recurso google_certificate_manager_certificate com o bloco self_managed.

API

Faça o upload do certificado fazendo uma solicitação POST para o método certificates.create da seguinte maneira:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.
  • SCOPE: insira uma das seguintes opções:
    • default: se você planeja usar o certificado com o balanceador de carga de aplicativo externo global ou o balanceador de carga de rede de proxy externo global.
    • all-regions: se você planeja usar o certificado com o balanceador de carga de aplicativo interno entre regiões.
    • edge-cache: se você planeja usar o certificado com a Media CDN e especificar vários domínios no certificado.

Atualizar um certificado

É possível atualizar um certificado sem modificar as atribuições dele a nomes de domínio no mapa de certificados correspondente. Ao atualizar um certificado, verifique se os SANs no novo certificado correspondem exatamente aos SANs no certificado atual.

Certificados gerenciados pelo Google

Para certificados gerenciados pelo Google, só é possível atualizar a descrição e os rótulos.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, localize o certificado que você quer atualizar e clique no nome dele. A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  3. Clique em Editar. A página Editar certificado é exibida.

  4. Opcional: no campo Descrição, insira uma nova descrição para o certificado.

  5. Opcional: é possível adicionar, remover ou mudar os rótulos associados ao certificado. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para o rótulo.

  6. Clique em Salvar. Na página Detalhes do certificado que aparece, verifique se o certificado foi atualizado.

gcloud

Para atualizar um certificado gerenciado pelo Google, use o comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição exclusiva do certificado.
  • LABELS: uma lista separada por vírgulas de rótulos aplicados a este certificado.

API

Para atualizar o certificado, faça uma solicitação PATCH ao método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • CERTIFICATE_NAME: o nome do certificado.
  • DESCRIPTION: uma descrição do certificado.
  • LABEL_KEY: uma chave de rótulo aplicada ao certificado.
  • LABEL_VALUE: um valor de rótulo aplicado ao certificado.

Certificados autogerenciados

Para atualizar um certificado autogerenciado, faça upload dos seguintes arquivos codificados em PEM:

  • O arquivo CRT do certificado

  • O arquivo de chave privada correspondente

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, localize o certificado que você quer atualizar e clique no nome dele. A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  3. Clique em Editar. A página Editar certificado é exibida.

  4. Opcional: no campo Descrição, insira uma nova descrição para o certificado.

  5. Opcional: no campo Certificado, faça uma das seguintes ações:

    • Clique no botão Fazer upload e selecione o arquivo de certificado no formato PEM.
    • Copie e cole o conteúdo de um certificado no formato PEM. O conteúdo precisa começar com -----BEGIN CERTIFICATE----- e terminar com -----END CERTIFICATE-----.

  6. Opcional: no campo Certificado de chave privada, faça uma das seguintes ações:

    • Clique no botão Upload e selecione sua chave privada. Ela precisa estar no formato PEM e não ser protegida por uma senha longa.
    • Copie e cole o conteúdo de uma chave privada no formato PEM. As chaves privadas precisam começar com -----BEGIN PRIVATE KEY----- e terminar com -----END PRIVATE KEY-----.

  7. Opcional: é possível adicionar, remover ou mudar os rótulos associados ao certificado. Para adicionar um rótulo, clique no botão Adicionar rótulo e especifique um key e um value para o rótulo.

  8. Clique em Salvar. Na página Detalhes do certificado que aparece, verifique se o certificado foi atualizado.

gcloud

Para atualizar um certificado autogerenciado, use o comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • CERTIFICATE_FILE: o caminho e o nome do arquivo de certificado CRT.
  • PRIVATE_KEY_FILE: o caminho e o nome do arquivo de chave privada KEY.
  • DESCRIPTION: um valor de descrição exclusivo para este certificado.
  • LABELS: uma lista separada por vírgulas de rótulos aplicados a este certificado.
  • LOCATION: o Google Cloud local de destino. Essa sinalização é opcional. Especifique essa flag apenas para certificados regionais.

API

Para atualizar o certificado, faça uma solicitação PATCH ao método certificates.patch da seguinte maneira:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino. Essa sinalização é opcional. Especifique essa flag apenas para certificados regionais.
  • CERTIFICATE_NAME: o nome do certificado.
  • PEM_CERTIFICATE: o PEM do certificado.
  • PEM_KEY: o PEM da chave.
  • DESCRIPTION: uma descrição significativa do certificado.
  • LABEL_KEY: uma chave de rótulo aplicada ao certificado.
  • LABEL_VALUE: um valor de rótulo aplicado ao certificado.

Listar certificados

É possível conferir todos os certificados do projeto e os detalhes deles, como região, nomes de host, data de validade e tipo.

Console

A página Gerenciador de certificados no console do Google Cloud pode mostrar no máximo 10.000 certificados. Se o projeto tiver mais de 10.000 certificados gerenciados pelo Gerenciador de certificados, use o comando da CLI gcloud.

Para conferir os certificados provisionados pelo Gerenciador de certificados:

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Clique na guia Certificados. Esta guia lista todos os certificados gerenciados pelo Certificate Manager no projeto selecionado.

Para ver os certificados provisionados pelo Cloud Load Balancing:

  1. No console Google Cloud , acesse a guia Certificados clássicos na página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados clássicos, você encontra uma lista de todos os certificados clássicos configurados no projeto selecionado.

    Os certificados clássicos não são gerenciados pelo Gerenciador de certificados. Para mais informações sobre como gerenciá-los, consulte a documentação sobre como usar certificados gerenciados pelo Google ou usar certificados autogerenciados.

gcloud

Para listar certificados, use o comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • LOCATION: o Google Cloud local de destino. Para listar certificados de todas as regiões, use - como o valor. O padrão é -. Essa sinalização é opcional.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'
    • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • LIMIT: o número máximo de resultados a serem retornados.

  • SORT_BY: uma lista delimitada por vírgulas de campos name de acordo com os quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

API

Liste os certificados fazendo uma solicitação LIST para o método certificates.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino. Para listar certificados de todas as regiões, use - como o valor.

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Prazo de validade: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomes DNS SAN: --filter='san_dnsnames:"example.com"'
    • Estado do certificado: --filter='managed.state=FAILED'
    • Tipo de certificado: --filter='managed:*'

    • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name de acordo com os quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

Ver o estado de um certificado

É possível conferir o estado de um certificado atual, incluindo o estado de provisionamento e outras informações detalhadas.

Console

Se o projeto tiver mais de 10.000 certificados gerenciados pelo Certificate Manager, a página Certificate Manager no console doGoogle Cloud não vai listá-los. Em vez disso, use o comando da CLI gcloud. No entanto, se você tiver um link direto para a página Detalhes do certificado, poderá conferir os detalhes dele no console Google Cloud .

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na página exibida, selecione a guia Certificados.

  3. Na guia Certificados, acesse o certificado de destino e clique no nome dele. A página Detalhes do certificado mostra informações detalhadas sobre o certificado selecionado.

  4. Opcional: para conferir a resposta REST da API Certificate Manager para esse certificado, clique em REST equivalente.

  5. Opcional: se o certificado tiver uma configuração de emissão associada que você quer ver, clique no nome do recurso de configuração de emissão de certificado associado no campo Configuração de emissão. O console Google Cloud mostra a configuração completa de emissão de certificados.

gcloud

Para conferir o status de um certificado, use o comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: o Google Cloud local de destino. O local padrão é global. Essa sinalização é opcional.

API

Para conferir o estado do certificado, faça uma solicitação GET ao método certificates.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • CERTIFICATE_NAME: o nome do certificado.

Excluir um certificado

Antes de excluir um certificado, remova-o de todas as entradas do mapa de certificados que o referenciam. Caso contrário, a exclusão vai falhar. Para mais informações, consulte Excluir uma entrada de mapa de certificado.

Console

  1. No console Google Cloud , acesse a página Certificate Manager.

    Acessar o Gerenciador de certificados

  2. Na guia Certificados, marque a caixa de seleção do certificado que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Para excluir um certificado, use o comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Substitua:

  • CERTIFICATE_NAME: o nome do certificado.
  • LOCATION: o Google Cloud local de destino. O local padrão é global. Essa sinalização é opcional.

API

Exclua o certificado fazendo uma solicitação DELETE ao método certificates.delete da seguinte maneira:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Substitua:

  • PROJECT_ID: o ID do projeto Google Cloud .
  • LOCATION: o Google Cloud local de destino.
  • CERTIFICATE_NAME: o nome do certificado.

A seguir