本頁面說明如何建立及管理憑證核發設定資源。
如要進一步瞭解憑證核發設定資源,請參閱「憑證核發設定」。
建立憑證核發設定資源
建立核發設定資源之前,請先設定 CA 服務與 Certificate Manager 的整合。
如要建立憑證核發設定資源,請指定憑證的有效期限、輪替時段百分比、金鑰演算法和要使用的 CA 集區。
即使您使用區域 CA 集區核發 Google 代管的 TLS 憑證,該憑證仍可在全球使用。
主控台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面的「Issuance configs」分頁。
按一下「建立」,系統隨即會顯示「Create a Certificate Issuance Config」(建立憑證核發設定) 頁面。
在「名稱」欄位中,輸入憑證核發設定資源的專屬名稱。
選用:在「說明」欄位中輸入核發設定的說明。
在「Location」(位置) 部分,選取「Global」(全域) 或「Regional」(區域)。如果您選取「區域」,請選取與憑證和 CA 集區相同的「區域」。
在「Lifetime」欄位中,以天為單位指定核發憑證的有效期限。這個值必須介於 21 到 30 天 (含) 之間。
針對「輪替期百分比」,請指定憑證開始更新程序時的有效期百分比。如要查看有效值的範圍,請參閱「生命週期和輪替時間窗口百分比」。
在「金鑰演算法」清單中,選取產生私密金鑰時要使用的金鑰演算法。
在「CA pool」清單中,選取要指派給此憑證核發設定資源的 CA 集區名稱。
在「Labels」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「Add label」(新增標籤) ,然後指定標籤的鍵和值。
按一下 [建立]。
gcloud
如要建立憑證核發設定資源,請使用 certificate-manager issuance-configs create 指令:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
更改下列內容:
ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。CA_POOL:您要指派給憑證核發設定資源的 CA 集區完整資源路徑和名稱。CERTIFICATE_LIFETIME:憑證的生命週期 (以天為單位)。有效值為 21 到 30 天,格式為絕對時間長度格式。預設值為 30 天 (30D)。這個旗標為選用。ROTATION_WINDOW_PERCENTAGE:憑證剩餘效期與更新時間之間的百分比。預設值為 66%。如要查看有效值的範圍,請參閱「[生命週期和輪替期百分比](#lifetime-rotation-percentage)」一節。這個旗標是選用的。KEY_ALGORITHM:用於產生私密金鑰的加密演算法。有效值為ecdsa-p256或rsa-2048。預設值為rsa-2048。這個旗標是選用的。LOCATION:目標 Google Cloud 位置。
API
如要建立憑證核發設定資源,請向 certificateIssuanceConfigs.create 方法提出 POST 要求,如下所示:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。DESCRIPTION:憑證核發設定資源的說明。CA_POOL:您要指派給憑證核發設定資源的 CA 集區完整資源路徑和名稱。CERTIFICATE_LIFETIME:憑證的生命週期 (以天為單位)。有效值為 21 到 30 天,格式為絕對時間長度格式。預設值為 30 天 (30D)。這個旗標為選用。ROTATION_WINDOW_PERCENTAGE:憑證剩餘效期與更新時間之間的百分比。預設值為 66%。如要查看有效值的範圍,請參閱「[生命週期和輪替期百分比](#lifetime-rotation-percentage)」一節。這個旗標是選用的。KEY_ALGORITHM:用於產生私密金鑰的加密演算法。有效值為ecdsa-p256或rsa-2048。預設值為rsa-2048。這個旗標是選用的。
效期和輪替期百分比
建立憑證核發設定資源時,您也必須在「壽命」欄位中定義憑證的有效期限,以及在「輪替時間窗口百分比」欄位中定義憑證的續約程序何時開始,以便在憑證到期前續約。
為確保憑證在到期前至少七天和核發後七天內續購,請根據憑證的效期設定輪替期百分比。如要計算輪替視窗百分比的許可範圍,請使用下列公式:
- 最小值:輪替期百分比 ≥ (7 / 效期) * 100
- 最大值:輪替期百分比 ≤ ( (Lifetime - 7) / Lifetime) * 100
在上述公式中,7 為七天。
如果最小值是小數值,則會進位至最接近的整數。如果最大值是小數值,則會無條件捨去至最接近的整數。
更新憑證核發設定
更新憑證核發設定時,您可以執行下列操作:
- 指定新標籤
- 指定新的說明
gcloud
如要更新憑證核發設定資源,請使用 certificate-manager issuance-configs update 指令:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
更改下列內容:
ISSUANCE_CONFIG_NAME:您要更新的目標憑證核發設定名稱。LABELS:您要為憑證核發設定指定的標籤。標籤必須以逗號分隔的清單形式指定為KEY=VALUE組合。這是選填欄位。DESCRIPTION:憑證核發設定的說明。這是選填欄位。
API
使用 certificateIssuanceConfigs.patch 方法更新憑證核發設定:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。ISSUANCE_CONFIG_NAME:您要更新的目標憑證核發設定名稱。LABEL_KEY:標籤鍵。這是選填欄位。LABEL_VALUE:標籤的值。這是選填欄位。DESCRIPTION:憑證核發設定。
列出憑證核發設定
您可以查看專案的所有憑證核發設定資源,以及相關詳細資料。
主控台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面的「Issuance configs」分頁。
在「核發設定」分頁中,系統會顯示所選專案中由 Certificate Manager 管理的所有憑證核發設定資源。
gcloud
如要列出憑證核發設定資源,請使用 certificate-manager issuance-configs list 指令:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
更改下列內容:
FILTER:限制傳回結果的值的運算式。舉例來說,如要依標籤和建立時間篩選結果,您可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如需更多可搭配 Certificate Manager 使用的篩選範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
PAGE_SIZE:每頁傳回的結果數量。LIMIT:傳回的結果數上限。SORT_BY:以逗號分隔的name欄位清單,用於排序傳回的結果。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。LOCATION:目標 Google Cloud 位置。
API
如要列出已設定的憑證核發設定資源,請對 certificateIssuanceConfigs.list 方法發出 LIST 要求,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。FILTER:限制傳回結果的值的運算式。舉例來說,如要依標籤和建立時間篩選結果,您可以指定:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如要瞭解更多可搭配 Certificate Manager 使用的篩選範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
PAGE_SIZE:每頁傳回的結果數量。SORT_BY:以逗號分隔的name欄位清單,用於排序傳回的結果。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。
查看憑證核發設定資源的狀態
主控台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面的「Issuance configs」分頁。
按一下要查看的憑證核發設定資源名稱。「Certificate Issuance Config」頁面會顯示憑證核發設定資源的詳細資訊。
gcloud
如要查看憑證核發設定資源的狀態,請使用 certificate-manager issuance-configs describe 指令:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
將 ISSUANCE_CONFIG_NAME 替換為參照目標 CA 集區的憑證核發設定資源名稱。
API
如要查看憑證核發設定資源的狀態,請向 certificateIssuanceConfigs.get 方法提出 GET 要求,如下所示:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。
刪除憑證核發設定資源
刪除憑證核發設定資源前,您必須先刪除參照該資源的 Google 管理憑證。
如要停用憑證核發設定資源中參照的 CA 集區中,您上次啟用的 CA,或是要完全刪除 CA 集區,您必須先刪除所有參照 CA 集區的憑證核發設定資源。
主控台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面的「Issuance configs」分頁。
找出要刪除的核發設定,然後選取對應的核取方塊。
點選「刪除」。
在出現的對話方塊中,按一下 [Delete] (刪除) 以進行確認。
gcloud
如要刪除憑證核發設定資源,請使用 certificate-manager issuance-configs delete 指令:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
更改下列內容:
ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。LOCATION:目標 Google Cloud 位置。
API
如要刪除憑證核發設定資源,請向 certificateIssuanceConfigs.delete 方法提出 DELETE 要求,如下所示:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。