Gerenciar entradas do mapa de certificados (original) (raw)

Um item no mapa de certificados associa um certificado a um nome do host de destino e a um mapa de certificado de destino. Nesta página, descrevemos como criar e gerenciar entradas de mapa de certificados.

Para mais informações, consulte Entradas do mapa de certificados.

Criar um item no mapa de certificados

É possível criar um item no mapa de certificados e associar até quatro certificados a ele. Recomendamos que você use um algoritmo de chave diferente para cada certificado ao especificar vários certificados para um nome de host. Por exemplo, é possível usar ECDSA para um certificado e RSA para outro. Associar vários certificados a um único item no mapa de certificados também ajuda ao migrar certificados autogerenciados para certificados gerenciados pelo Google.

Para mais informações sobre como um balanceador de carga seleciona certificados durante um handshake, consulteLógica de seleção de certificados.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de editor do Certificate Manager (roles/certificatemanager.editor)
• Papel de proprietário do Certificate Manager (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Console

1. No console Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Para umnovo mapa de certificado, clique emCriar mapa de certificado.
   Para um mapa de certificado atual, selecione o mapa necessário na lista.
3. Na página Criar mapa de certificados ou Editar mapa de certificados, clique em Adicionar item no mapa. A janela Adicionar item no mapa é aberta.
4. No campo Nome da entrada do mapa, insira um nome para o item no mapa de certificados, como my-cert-map-entry-01.
5. No campo Descrição, insira uma descrição para o item no mapa de certificados, como My new cert map entry.
6. Para definir o novo item no mapa de certificados como a entrada principal do seu mapa de certificados, selecione Entrada principal. Para mais informações, consulteCriar um item no mapa de certificados principal.
   Observação: só é possível associar um item no mapa de certificados principal a um mapa de certificado.
7. No campo Nome do host, insira o nome de host que você quer associar à entrada do mapa de certificados, como www.example.com.
   Observação: para um item no mapa de certificados principal, o nome do host é especificado como <PRIMARY> por padrão, e não é possível mudar o nome do host.
8. Para associar um certificado ao item no mapa de certificados, clique emSelecionar um certificado. Você pode selecionar um certificado existente ou clicar em Adicionar certificado para criar um certificado.
   Observação: é possível associar no máximo quatro certificados a um item no mapa de certificados.
9. Para adicionar um rótulo e associá-lo ao item no mapa de certificados, clique emAdicionar rótulo e insira uma chave e um valor para o rótulo.
10. Clique em Adicionar. O item no mapa de certificados com os certificados associados é adicionado ao mapa de certificados.

gcloud

Para associar vários certificados a um item no mapa de certificados, forneça uma lista de nomes de certificados delimitada por vírgulas. Para cada subdomínio, crie um item no mapa separado.

Para criar um item no mapa de certificados, use ocomando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME
--map="CERTIFICATE_MAP_NAME"
--certificates="CERTIFICATE_NAMES"
--hostname="HOSTNAME"

Substitua:

• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_NAMES: uma lista separada por vírgulas dos nomes dos certificados que você quer associar ao item no mapa de certificados
• HOSTNAME: nome do host que você quer associar ao item no mapa de certificados

API

Para associar vários certificados a um item no mapa de certificados, forneça uma lista de nomes de certificados delimitada por vírgulas. Para cada subdomínio, crie um item no mapa separado.

Para criar um item no mapa de certificados, faça uma solicitação POST para ométodo certificateMaps.certificateMapEntries.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME { hostname: "HOSTNAME" certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"] }

Substitua:

• PROJECT_ID: ID do seu Google Cloud projeto
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• HOSTNAME: nome do host que você quer associar ao item no mapa de certificados
• CERTIFICATE_NAME1: nome do primeiro certificado que você quer associar ao item no mapa de certificados.
• CERTIFICATE_NAME2: nome do segundo certificado que você quer associar ao item no mapa de certificados.

Terraform

Para criar um item no mapa de certificados, use umrecurso google_certificate_manager_certificate_map_entry.

Para saber como aplicar ou remover uma configuração do Terraform, consulteComandos básicos do Terraform.

Criar um item principal no mapa de certificados

É possível especificar um item no mapa de certificados principal que um balanceador de carga pode disponibilizar se o cliente não fornecer um nome do host ou se o balanceador de carga não conseguir corresponder o nome do host a um item no mapa de certificados configurado.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de editor do Certificate Manager (roles/certificatemanager.editor)
• Papel de proprietário do Certificate Manager (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Console

1. No console Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Para umnovo mapa de certificado, clique emCriar mapa de certificado.
   Para um mapa de certificado atual, selecione o mapa necessário na lista.
3. Ao adicionar um novo item no mapa de certificados, na página Criar mapa de certificados, clique em Adicionar item no mapa.
   Para editar um item no mapa de certificados existente, na página Editar mapa de certificado, na coluna Ações da linha do item no mapa, clique no ícone e selecione Editar.
4. Para definir um item no mapa de certificados como o item principal do seu mapa de certificados, na janela Adicionar item no mapa, selecione Item principal.
   Observação: só é possível associar um item no mapa de certificados principal a um mapa de certificado.
5. Clique em Salvar.

gcloud

Para criar um item no mapa de certificados principal, use o comando gcloud certificate-manager maps entries createcom a flag set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME
--map="CERTIFICATE_MAP_NAME"
--certificates="CERTIFICATE_NAMES"
--set-primary

Substitua:

• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_NAMES: uma lista separada por vírgulas dos nomes dos certificados que você quer associar ao item no mapa de certificados

API

Para criar um item no mapa de certificados, faça uma solicitação POST para ométodo certificateMaps.certificateMapEntries.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME { matcher: "PRIMARY", certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"] }

Substitua:

• PROJECT_ID: ID do seu Google Cloud projeto
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_NAME1: nome do primeiro certificado que você quer associar ao item principal no mapa de certificados.
• CERTIFICATE_NAME2: nome do segundo certificado que você quer associar ao item principal no mapa de certificados.

Para mais informações sobre como o balanceador de carga seleciona certificados durante um handshake, consulte Lógica de seleção de certificados.

Atualizar um item no mapa de certificados

Ao atualizar um item no mapa de certificados, é possível fazer o seguinte:

• Atribuir ou cancelar a atribuição de certificados
• Mudar a descrição
• Mudar os marcadores

Se você usa o console Google Cloud para atualizar uma entrada do mapa de certificados, também é possível fazer o seguinte:

• Mudar o nome de um item no mapa.
• Se nenhum outro item no mapa for atribuído como o principal, atribua o item no mapa como o item principal no mapa de certificados.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de editor do Certificate Manager (roles/certificatemanager.editor)
• Papel de proprietário do Certificate Manager (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Console

1. No console Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Na lista de mapas de certificados, clique no mapa necessário. A página Detalhes do mapa de certificados é aberta.
3. Clique em Editar. A página Editar mapa de certificados é aberta.
4. Na coluna Ações do item no mapa, clique no ícone e selecione Editar. A janela Editar item no mapa é aberta.
5. No campo Nome da entrada do mapa, mude o nome do item no mapa de certificados.
6. No campo Descrição, mude a descrição do item no mapa de certificados.
7. Para definir o item no mapa de certificados como a entrada principal do seu mapa de certificados, selecione Entrada principal. Para mais informações, consulteCriar um item no mapa de certificados principal.
   Observação: só é possível associar um item no mapa de certificados principal a um mapa de certificado.
8. No campo Nome do host, mude o nome do host que você quer associar à entrada do mapa de certificados.
   Observação: para um item no mapa de certificados principal, o nome do host é especificado como <PRIMARY> por padrão, e não é possível mudar o nome do host.
9. Para associar um certificado ao item no mapa de certificados, clique emSelecionar um certificado. Você pode selecionar um certificado existente ou clicar em Adicionar certificado para criar um certificado.
   Observação: é possível associar no máximo quatro certificados a um item no mapa de certificados.
   Para mover um certificado para cima ou para baixo na ordem, clique no ícone ou do certificado necessário.
   Para excluir um certificado, clique emExcluir item no certificado necessário.
10. Para adicionar um rótulo e associá-lo ao item no mapa de certificados, clique emAdicionar rótulo e insira uma chave e um valor para o rótulo.
    Para excluir um marcador, clique emExcluir item no marcador necessário.
11. Clique em Salvar.

gcloud

Para atualizar um item no mapa de certificados, use ocomando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME
--map="CERTIFICATE_MAP_NAME"
--certificates="CERTIFICATE_NAME,CERTIFICATE_NAME"
--description="DESCRIPTION"
--update-labels="LABELS"

Substitua:

• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_NAME: o nome do certificado que você quer associar ao item no mapa de certificados.
• DESCRIPTION: descrição do item no mapa de certificados.
• LABELS: lista de rótulos aplicados à entrada do mapa de certificados

API

Para atualizar o item no mapa de certificados, faça uma solicitação PATCH ao método certificateMaps.certificateMapEntries.patch:

PATCH /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates { "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"], "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE" } }

Substitua:

• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• PROJECT_ID: ID do projeto do Google Cloud
• CERTIFICATE_NAME: o nome do certificado
• DESCRIPTION: descrição do item no mapa de certificados.
• LABEL_KEY: uma chave de rótulo aplicada ao item no mapa de certificados.
• LABEL_VALUE: um valor de rótulo aplicado ao item no mapa de certificados

É possível ver, filtrar e classificar a lista de todas as entradas de mapa de certificado associadas a um mapa de certificado.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de Leitor do Certificate Manager (roles/certificatemanager.viewer)
• Papel de editor do Certificate Manager (roles/certificatemanager.editor)
• Papel de proprietário do Certificate Manager (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Console

1. No console do Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Na lista de mapas de certificados, clique no mapa necessário. A página Detalhes do mapa de certificado é aberta com informações detalhadas sobre o mapa de certificado selecionado e a lista de entradas de mapa associada.

gcloud

Para listar as entradas do mapa de certificados associadas a um mapa de certificados, use o comando gcloud certificate-manager maps entries list.

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME
--filter="FILTER"
--page-size="PAGE_SIZE"
--limit="LIMIT"
--sort-by="SORT_BY"

Substitua:

• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  Por exemplo, você pode filtrar os resultados pelos seguintes critérios:
  • Estado de veiculação: --filter='state=ACTIVE'
  • Correspondência (definida como principal): --filter='-matcher=PRIMARY'
  • Nome do host: --filter='hostname=example.com'
  • Certificados atribuídos: --filter='certificates:my-cert'
  • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
• PAGE_SIZE: número de resultados que você quer retornar por página
• LIMIT: número máximo de resultados que você quer retornar
• SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

API

Para listar as entradas de mapa de certificados associadas a um mapa de certificados, faça uma solicitação GET para ométodo certificateMaps.certificateMapEntries.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

• PROJECT_ID: ID do projeto do Google Cloud
• CERTIFICATE_MAP_NAME: nome do mapa de certificados de destino
• FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  Por exemplo, você pode filtrar os resultados pelos seguintes critérios:
  • Estado de veiculação: --filter='state=ACTIVE'
  • Correspondência (definida como principal): --filter='-matcher=PRIMARY'
  • Nome do host: --filter='hostname=example.com'
  • Certificados atribuídos: --filter='certificates:my-cert'
  • Marcadores e horário de criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
    Para mais exemplos de filtragem que podem ser usados com o Certificate Manager, consulteComo classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
• PAGE_SIZE: número de resultados que você quer retornar por página
• SORT_BY: uma lista separada por vírgulas de campos name pelos quais os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, adicione um til (~) antes do campo.

Ver o estado de um item no mapa de certificados

É possível conferir os detalhes e o estado de um item no mapa de certificados associado a um mapa de certificados.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de Leitor do Certificate Manager (roles/certificatemanager.viewer)
• Papel de editor do Certificate Manager (roles/certificatemanager.editor)
• Papel de proprietário do Certificate Manager (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Console

1. No console do Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Na lista de mapas de certificados, clique no mapa necessário. A página Detalhes do mapa de certificado é aberta com informações detalhadas sobre o mapa de certificado selecionado e a lista de entradas de mapa associada.
3. Na seção Itens no mapa, clique no nome do item no mapa que você quer visualizar. A página Detalhes do item no mapa é aberta com informações detalhadas sobre o item no mapa selecionado.

gcloud

Para conferir o estado de um item no mapa de certificados associado a um mapa de certificados, use o comando gcloud certificate-manager maps entries describe:

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME
--map="CERTIFICATE_MAP_NAME"

Substitua:

• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados

O resultado será o seguinte:

certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'

API

Para conferir o estado de um item no mapa de certificados associado a um mapa de certificados, faça uma solicitação GET para o método certificateMaps.certificateMapEntries.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

• PROJECT_ID: ID do projeto do Google Cloud
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados

Excluir um item no mapa de certificados

Quando você exclui um item no mapa de certificados, os certificados associados a ele são desvinculados do proxy de destino.

Excluir um item do mapa de certificados não remove os certificados associados de Google Cloud. É necessárioexcluir manualmente esses certificados.

Funções necessárias para essa tarefa

Para executar essa tarefa, você precisa ter um dos seguintes papéis do IAM no projeto Google Cloud de destino.

• Papel de editor do Certificate Manager (roles/certificatemanager.editor)

Para mais informações, consulte Papéis e permissões.

Console

1. No console Google Cloud , acesse a página Certificate Manager e clique na guia Mapas de certificados.
   Acessar o Certificate Manager
2. Na lista de mapas de certificados, clique no mapa necessário. A página Detalhes do mapa de certificados é aberta.
3. Clique em Editar. A página Editar mapa de certificados é aberta.
4. Na coluna Ações do item no mapa, clique no ícone e selecione Excluir. Em seguida, clique em Excluir.

gcloud

Para excluir um item no mapa de certificados associado a um mapa de certificados, use ocomando gcloud certificate-manager maps entries delete:

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME
--map="CERTIFICATE_MAP_NAME"

Substitua:

• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados

API

Para excluir um item no mapa de certificados associado a um mapa de certificados, faça uma solicitação DELETE aométodo certificateMaps.certificateMapEntries.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Substitua:

• PROJECT_ID: ID do projeto do Google Cloud
• CERTIFICATE_MAP_NAME: nome do mapa de certificados associado ao item no mapa de certificados
• CERTIFICATE_MAP_ENTRY_NAME: nome do item no mapa de certificados

A seguir

• Gerenciar certificados
• Gerenciar mapas de certificados
• Gerenciar autorizações de DNS
• Gerenciar recursos de configuração de emissão de certificados