Nesta página, descrevemos como criar e gerenciar mapas de certificado.
Para mais informações sobre os mapas de certificado, consulte Como o Gerenciador de certificados funciona
Para aprender a implantar um certificado com o Gerenciador de certificados, consulte Visão geral da implantação.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
Referência da CLI do Gerenciador de certificados.
Criar um CertificateMap
Para criar um mapa de certificado, siga as etapas desta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve este certificado. mapa.
Terraform
Para criar um mapa de certificado, você pode usar um google_certificate_manager_certificate_map
recurso.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
API
Crie o mapa de certificado fazendo uma solicitação POST
ao certificateMaps.create
.
da seguinte forma:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.CERTIFICATE_MAP_NAME
é um nome exclusivo que descreve esse mapa de certificado.
Anexar um mapa de certificado a um proxy
Depois de criar um mapa de certificado e preenchê-lo com entradas do mapa de certificado, será preciso anexar ao proxy desejado. O Gerenciador de certificados oferece suporte proxies HTTPS de destino e proxies SSL de destino. Para mais informações sobre diferenças entre esses tipos de proxy, consulte Como usar proxies de destino.
Se houver certificados TLS (SSL) anexados diretamente à proxy, o proxy dá preferência aos certificados referenciados pelo mapa de certificados pelos certificados TLS (SSL) anexados diretamente.
Para concluir esta tarefa, você precisa ter o papel de Editor no projeto do Google Cloud de destino.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --certificate-map="CERTIFICATE_MAP_NAME"
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado. que contêm uma ou mais entradas do mapa de certificado referenciando o certificados.
API
Anexe o mapa de certificados fazendo uma solicitação POST
para o método targetHttpsProxies
ou targetSslProxies
da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado. contendo um mapa de entradas de certificado que faz referência aos certificados de destino.
Remover um mapa de certificado de um proxy
Para desanexar um mapa de certificado de um proxy, siga as etapas nesta seção.
Lembre-se:
- Se houver certificados TLS (SSL) anexados diretamente ao proxy, remover o mapa de certificado faz com que o proxy retome o uso deles diretamente certificados TLS (SSL) anexados.
- Se não houvesse certificados TLS (SSL) anexados diretamente ao proxy, o mapa de e não pode ser desanexado do proxy. Primeiro, é necessário anexar pelo menos um TLS (SSL) certificado diretamente ao proxy antes de desanexar o mapa de certificado.
Para concluir esta tarefa, você precisa ter o papel Administrador do balanceador de carga do Compute no projeto de destino do Google Cloud.
gcloud
gcloud compute PROXY_TYPE update PROXY_NAME \ --clear-certificate-map
Substitua:
PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
target-https-proxies
. - Para proxies SSL de destino, use
target-ssl-proxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
API
Desanexe o mapa de certificado fazendo uma solicitação POST
ao targetHttpsProxies
ou targetSslProxies
com um valor certificateMap
vazio, da seguinte maneira:
POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap { certificateMap: "", }
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.PROXY_TYPE
é o tipo do proxy de destino. Os tipos com suporte são:- Para proxies HTTP de destino, use
targetHttpsProxies
. - Para proxies SSL de destino, use
targetSslProxies
.
- Para proxies HTTP de destino, use
PROXY_NAME
é o nome do proxy de destino.
Atualizar um mapa de certificado
Para atualizar a descrição de um mapa de certificado, siga as etapas desta seção.
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \ --description="DESCRIPTION" --update-labels="LABELS"
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição deste mapa de certificado.LABELS
é uma lista separada por vírgulas de rótulos aplicados a este mapa de certificado.
API
Atualize o mapa de certificado fazendo uma solicitação PATCH
ao certificateMaps.patch
.
da seguinte forma:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description" { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", }
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.DESCRIPTION
é a nova descrição deste mapa de certificado.LABEL_KEY
é uma chave de rótulo aplicada a este mapa de certificado.LABEL_VALUE
é um valor de rótulo aplicado a este mapa de certificado.
Listar mapas de certificados
Para listar os mapas de certificados configurados, siga as etapas deste nesta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Substitua:
FILTER
é uma expressão que restringe a saída resultados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:- Marcadores e data/hora de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtros que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Marcadores e data/hora de criação:
PAGE_SIZE
é o número de resultados a serem retornados por página.LIMIT
é o número máximo de resultados a serem retornados.SORT_BY
é uma lista delimitada por vírgulas de camposname
pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo desejado com~
.
API
Liste os mapas de certificados configurados fazendo uma solicitação LIST
ao certificateMaps.list
.
da seguinte forma:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
é o ID do projeto de destino do Google Cloud.FILTER
é uma expressão que restringe a saída resultados a valores específicos.PAGE_SIZE
é o número de resultados que serão retornados por página.SORT_BY
é uma lista delimitada por vírgulas de nomes de campo pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com~
.
Visualizar o estado de um mapa de certificado
Para visualizar o estado de um mapa de certificado, conclua as etapas nesta seção.
Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:
- Leitor do Gerenciador de certificados
- Editor do Gerenciador de certificados
- Proprietário do Gerenciador de certificados
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Veja o estado do mapa de certificado fazendo uma solicitação GET
para o certificateMaps.get
.
da seguinte forma:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
Excluir um mapa de certificado
Para excluir um mapa de certificados, siga as etapas desta seção. Antes de excluir um mapa de certificado, primeiro é preciso desvinculá-lo do proxy de destino.
Se houver entradas de mapa de certificado atribuídas ao mapa que você quer excluir, será preciso excluí-los manualmente antes de excluir o mapa; caso contrário, a exclusão do mapa vai falhar.
Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.
Para mais informações, consulte Papéis e permissões.
gcloud
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
Substitua:
CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
API
Exclua o mapa de certificados fazendo uma solicitação DELETE
para o método certificateMaps.delete
da seguinte maneira:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME
Substitua:
PROJECT_ID
é o ID do projeto do Google Cloud de destino.CERTIFICATE_MAP_NAME
é o nome do mapa de certificado de destino.
A seguir
- Gerenciar certificados
- Gerenciar entradas do mapa de certificados
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados