Gerenciar mapas de certificados

Nesta página, descrevemos como criar e gerenciar mapas de certificado.

Para mais informações sobre os mapas de certificado, consulte Como o Gerenciador de certificados funciona

Para aprender a implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a Referência da CLI do Gerenciador de certificados.

Criar um CertificateMap

Para criar um mapa de certificado, siga as etapas desta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve este certificado. mapa.

Terraform

Para criar um mapa de certificado, você pode usar um google_certificate_manager_certificate_map recurso.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie o mapa de certificado fazendo uma solicitação POST ao certificateMaps.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é um nome exclusivo que descreve esse mapa de certificado.

Anexar um mapa de certificado a um proxy

Depois de criar um mapa de certificado e preenchê-lo com entradas do mapa de certificado, será preciso anexar ao proxy desejado. O Gerenciador de certificados oferece suporte proxies HTTPS de destino e proxies SSL de destino. Para mais informações sobre diferenças entre esses tipos de proxy, consulte Como usar proxies de destino.

Se houver certificados TLS (SSL) anexados diretamente à proxy, o proxy dá preferência aos certificados referenciados pelo mapa de certificados pelos certificados TLS (SSL) anexados diretamente.

Para concluir esta tarefa, você precisa ter o papel de Editor no projeto do Google Cloud de destino.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado. que contêm uma ou mais entradas do mapa de certificado referenciando o certificados.

API

Anexe o mapa de certificados fazendo uma solicitação POST para o método targetHttpsProxies ou targetSslProxies da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado. contendo um mapa de entradas de certificado que faz referência aos certificados de destino.

Remover um mapa de certificado de um proxy

Para desanexar um mapa de certificado de um proxy, siga as etapas nesta seção.

Lembre-se:

  • Se houver certificados TLS (SSL) anexados diretamente ao proxy, remover o mapa de certificado faz com que o proxy retome o uso deles diretamente certificados TLS (SSL) anexados.
  • Se não houvesse certificados TLS (SSL) anexados diretamente ao proxy, o mapa de e não pode ser desanexado do proxy. Primeiro, é necessário anexar pelo menos um TLS (SSL) certificado diretamente ao proxy antes de desanexar o mapa de certificado.

Para concluir esta tarefa, você precisa ter o papel Administrador do balanceador de carga do Compute no projeto de destino do Google Cloud.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Substitua:

  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use target-https-proxies.
    • Para proxies SSL de destino, use target-ssl-proxies.
  • PROXY_NAME é o nome do proxy de destino.

API

Desanexe o mapa de certificado fazendo uma solicitação POST ao targetHttpsProxies ou targetSslProxies com um valor certificateMap vazio, da seguinte maneira:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • PROXY_TYPE é o tipo do proxy de destino. Os tipos com suporte são:
    • Para proxies HTTP de destino, use targetHttpsProxies.
    • Para proxies SSL de destino, use targetSslProxies.
  • PROXY_NAME é o nome do proxy de destino.

Atualizar um mapa de certificado

Para atualizar a descrição de um mapa de certificado, siga as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição deste mapa de certificado.
  • LABELS é uma lista separada por vírgulas de rótulos aplicados a este mapa de certificado.

API

Atualize o mapa de certificado fazendo uma solicitação PATCH ao certificateMaps.patch. da seguinte forma:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • DESCRIPTION é a nova descrição deste mapa de certificado.
  • LABEL_KEY é uma chave de rótulo aplicada a este mapa de certificado.
  • LABEL_VALUE é um valor de rótulo aplicado a este mapa de certificado.

Listar mapas de certificados

Para listar os mapas de certificados configurados, siga as etapas deste nesta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • FILTER é uma expressão que restringe a saída resultados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Marcadores e data/hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtros que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados a serem retornados por página.

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista delimitada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo desejado com ~.

API

Liste os mapas de certificados configurados fazendo uma solicitação LIST ao certificateMaps.list. da seguinte forma:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • FILTER é uma expressão que restringe a saída resultados a valores específicos.
  • PAGE_SIZE é o número de resultados que serão retornados por página.
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com ~.

Visualizar o estado de um mapa de certificado

Para visualizar o estado de um mapa de certificado, conclua as etapas nesta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Veja o estado do mapa de certificado fazendo uma solicitação GET para o certificateMaps.get. da seguinte forma:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

Excluir um mapa de certificado

Para excluir um mapa de certificados, siga as etapas desta seção. Antes de excluir um mapa de certificado, primeiro é preciso desvinculá-lo do proxy de destino.

Se houver entradas de mapa de certificado atribuídas ao mapa que você quer excluir, será preciso excluí-los manualmente antes de excluir o mapa; caso contrário, a exclusão do mapa vai falhar.

Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

API

Exclua o mapa de certificados fazendo uma solicitação DELETE para o método certificateMaps.delete da seguinte maneira:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

A seguir