Gerenciar entradas do mapa de certificados

Esta seção descreve como criar e gerenciar entradas do mapa de certificado. Um entrada do mapa de certificado associa um certificado a um nome de host de destino e a um mapa de certificados de destino.

Para mais informações sobre as entradas do mapa de certificados, consulte Como o Gerenciador de certificados funciona

Para saber como implantar um certificado com o Gerenciador de certificados, consulte a Visão geral da implantação.

Para mais informações sobre os comandos gcloud usados nesta página, consulte a Referência da CLI do Gerenciador de certificados.

Criar uma entrada de mapa de certificado

Para criar uma entrada de mapa de certificados e associar um ou mais certificados ao siga as etapas desta seção. É necessário especificar pelo menos um dentro de uma entrada de mapa de certificados. Se você quiser especificar mais de um certificado para um determinado nome do host, isso só poderá ser feito se cada certificado usar uma pacotes de criptografia diferentes, como ECDSA e RSA.

Para associar vários certificados a uma entrada do mapa de certificados, forneça um lista delimitada por vírgulas de nomes de certificados para associar à entrada. Você pode associar no máximo quatro certificados a uma única entrada do mapa de certificados. Para cada subdomínio, é necessário criar uma entrada separada no mapa de certificados.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_NAMES é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.
  • HOSTNAME é o nome de host que você quer associar a essa entrada do mapa de certificado.

Terraform

Para criar uma entrada de mapa de certificado, use um google_certificate_manager_certificate_map_entry recurso.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

API

Crie a entrada do mapa de certificado fazendo uma solicitação POST ao certificateMaps.certificateMapEntries.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • HOSTNAME é o nome de host que você quer associar a essa entrada do mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.

Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, consulte Lógica de seleção de certificados.

Criar uma entrada do mapa de certificado principal

É possível especificar um certificado primário que será veiculado pelo balanceador de carga se o cliente não fornece um nome de host ou um nome de host que o balanceador de carga não pode corresponder a nenhuma entrada de mapa de certificado configurada.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_NAMES é uma lista delimitada por vírgulas dos nomes dos certificados. que deseja associar a esta entrada do mapa de certificado.

API

Crie a entrada do mapa de certificado fazendo uma solicitação POST ao certificateMaps.certificateMapEntries.create. da seguinte forma:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Substitua:

  • PROJECT_ID é o ID do projeto do Google Cloud de destino.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.

Para informações sobre como o balanceador de carga seleciona certificados durante um handshake, Consulte Lógica de seleção de certificados.

Atualizar uma entrada do mapa de certificado

Para atualizar uma entrada do mapa de certificado, siga as etapas desta seção. Você pode atualize uma entrada do mapa de certificado da seguinte maneira:

  • Atribuir ou remover a atribuição de certificados
  • Modificar a descrição
  • Modificar os rótulos

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.
  • DESCRIPTION é uma descrição significativa para essa entrada do mapa de certificado.
  • LABELS é uma lista de rótulos aplicados a essa entrada do mapa de certificado.

API

Atualize a entrada do mapa de certificados fazendo uma solicitação PATCH para o método certificateMaps.certificateMapEntries.patch da seguinte maneira:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual a esta entrada do mapa de certificado.
  • CERTIFICATE_MAP_ENTRY_NAME é um nome exclusivo que descreve isso entrada do mapa de certificado.
  • CERTIFICATE_NAME é o nome do certificado que você quer associar. a esta entrada do mapa de certificado.
  • DESCRIPTION é uma descrição significativa para essa entrada do mapa de certificado.
  • LABEL_KEY é uma chave de rótulo aplicada a esta entrada do mapa de certificado.
  • LABEL_VALUE é um valor de rótulo aplicado a esta entrada do mapa de certificado.

Listar entradas do mapa de certificado

Listar as entradas do mapa de certificado atualmente configuradas em um destino mapa de certificado, conclua as etapas desta seção.

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Substitua:

  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.

  • FILTER é uma expressão que restringe a saída resultados a valores específicos. Por exemplo, é possível filtrar os resultados pelos seguintes critérios:

    • Estado de veiculação: --filter='state=ACTIVE'
    • Correspondência (definido como principal): --filter='-matcher=PRIMARY'
    • Nome do host: --filter='hostname=example.com'
    • Certificados atribuídos: --filter='certificates:my-cert'
    • Marcadores e data/hora de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtros que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE é o número de resultados que serão retornados por página.

  • LIMIT é o número máximo de resultados a serem retornados.

  • SORT_BY é uma lista delimitada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificação em ordem decrescente, prefixe o campo desejado com ~.

API

Liste as entradas de mapa de certificados configuradas em um determinado mapa de certificados fazendo uma solicitação LIST para o método certificateMaps.certificateMapEntries.list da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado de destino.
  • FILTER é uma expressão que restringe a saída resultados a valores específicos.
  • PAGE_SIZE é o número de resultados que serão retornados por página.
  • SORT_BY é uma lista delimitada por vírgulas de nomes de campos por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. para ordem de classificação decrescente, prefixe o campo desejado com ~.

Conferir o estado de uma entrada do mapa de certificado

Para visualizar o estado de uma entrada de mapa de certificado, siga as etapas neste nesta seção.

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

  • Leitor do Gerenciador de certificados
  • Editor do Gerenciador de certificados
  • Proprietário do Gerenciador de certificados

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é o nome do mapa de certificado de destino. entrada.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.

API

Para conferir o estado da entrada do mapa de certificados, faça uma solicitação GET para o método certificateMaps.certificateMapEntries.get da seguinte maneira:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.

Excluir uma entrada do mapa de certificado

Para excluir uma entrada desse tipo de mapa, conclua o nesta seção. Essa ação desanexa os certificados associados à entrada do mapa de certificados do proxy de destino.

A exclusão de uma entrada do mapa de certificados não exclui os certificados associados. Para remover esses certificados do Google Cloud, é necessário excluí-los manualmente.

Para concluir esta tarefa, é necessário ter o papel de Proprietário do Gerenciador de certificados na ao projeto do Google Cloud de destino.

Para mais informações, consulte Papéis e permissões.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Substitua:

  • CERTIFICATE_MAP_ENTRY_NAME é o nome do mapa de certificado de destino. entrada.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.

API

Exclua uma entrada do mapa de certificado fazendo uma solicitação DELETE ao certificateMaps.certificateMapEntries.delete da seguinte forma:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

  • PROJECT_ID é o ID do projeto de destino do Google Cloud.
  • CERTIFICATE_MAP_NAME é o nome do mapa de certificado ao qual esta entrada do mapa de certificado está anexada.
  • CERTIFICATE_MAP_ENTRY_NAME é o nome da entrada do mapa de certificado de destino.

A seguir