本頁說明如何使用 Certificate Manager 建立及管理傳輸層安全標準 (TLS) 憑證 (舊稱 SSL)。
詳情請參閱「支援的 TLS 憑證」。
建立 Google 代管的憑證
您可以使用 Certificate Manager,透過下列方式建立 Google 代管的憑證:
- 使用負載平衡器授權的 Google 代管憑證 (全域)
- 使用 DNS 授權的 Google 代管憑證 (全域、區域和跨區域)
- 透過憑證授權單位服務 (CA 服務) 取得 Google 代管憑證 (全域、區域和跨區域)
負載平衡器授權
負載平衡器授權可讓您在負載平衡器提供流量時,取得網域的 Google 代管憑證。這個方法不需要任何額外的 DNS 記錄,即可佈建憑證。對於沒有現有流量的新環境,您可以使用負載平衡器授權。如要瞭解何時該搭配使用負載平衡器授權與 Google 代管憑證,請參閱「Google 代管憑證的網域授權類型」。
您只能在 global 位置,透過負載平衡器授權建立 Google 代管憑證。負載平衡器授權憑證不支援萬用字元網域。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁中,按一下「新增憑證」。
在「憑證名稱」欄位中,輸入憑證的專屬名稱。
選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。
在「Location」(位置) 部分,選取「Global」。
在「範圍」部分,選取下列任一選項:
- 預設:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。
- 邊緣快取:如果您打算搭配 Media CDN 使用憑證,並在憑證中指定多個網域。
您無法搭配區域位置或所有區域範圍使用負載平衡器授權。
在「Certificate type」(憑證類型) 部分,選取「Create Google-managed certificate」(建立 Google 代管的憑證)。
在「Certificate Authority type」(憑證授權單位類型) 部分,選取「Public」(公開)。
在「網域名稱」欄位中,指定以半形逗號分隔的憑證網域名稱清單。每個網域名稱都必須是完整網域名稱,例如
myorg.example.com。在「Authorization type」(授權類型) 中,選取「Load balancer authorization」(負載平衡器授權)。
在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。
點選「建立」。
新憑證會顯示在憑證清單中。
gcloud
如要建立全域 Google 代管憑證並授權負載平衡器,請使用 certificate-manager certificates create 指令:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
[--scope=SCOPE]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。DOMAIN_NAMES:以半形逗號分隔的目標網域清單。每個網域名稱都必須是完整網域名稱,例如myorg.example.com。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
Terraform
使用google_certificate_manager_certificate資源。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
API
對 certificates.create 方法發出 POST 要求,建立憑證,如下所示:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"scope": "SCOPE" //optional
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_NAME:憑證名稱。DOMAIN_NAMES:以半形逗號分隔的目標網域清單。每個網域名稱都必須是完整網域名稱,例如myorg.example.com。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
DNS 授權
如要在正式環境準備就緒前使用 Google 代管的憑證,可以透過 DNS 授權佈建憑證。如要瞭解何時應使用 DNS 授權搭配 Google 代管的憑證,請參閱「Google 代管憑證的網域授權類型」。
如要跨多個專案獨立管理憑證,可以使用專案專屬的 DNS 授權。如要瞭解如何使用專案專屬的 DNS 授權建立憑證,請參閱「建立 DNS 授權」。
建立憑證前,請先完成下列步驟:
- 為憑證涵蓋的每個網域名稱建立 DNS 授權。
- 在目標網域的 DNS 區域中,將 CNAME 記錄新增至驗證子網域的 DNS 設定。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁中,按一下「新增憑證」。
在「憑證名稱」欄位中,輸入憑證的專屬名稱。
選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。
在「Location」(位置) 部分,選取「Global」(全域) 或「Regional」(區域)。
如果選取「區域」,請從「區域」清單中選取區域。
在「範圍」部分,選取下列任一選項:
- 預設:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。
- 所有區域:如要將憑證用於跨區域內部應用程式負載平衡器。
- 邊緣快取:如果您打算搭配 Media CDN 使用憑證,並在憑證中指定多個網域。
如果選取「區域」位置,則無法使用「範圍」欄位。
在「Certificate type」(憑證類型) 部分,選取「Create Google-managed certificate」(建立 Google 代管的憑證)。
在「Certificate Authority type」(憑證授權單位類型) 部分,選取「Public」(公開)。
在「網域名稱」欄位中,指定以半形逗號分隔的憑證網域名稱清單。每個網域名稱都必須是完整網域名稱,例如
myorg.example.com。網域名稱也可以是萬用字元網域名稱,例如*.example.com。在「Authorization type」部分選取「DNS authorization」。
這個頁面會列出網域名稱的 DNS 授權。如果網域名稱沒有相關聯的 DNS 授權,請按照下列步驟建立授權:
- 按一下「建立缺少的 DNS 授權」。
- 在「DNS 授權名稱」欄位中,指定 DNS 授權的名稱。
預設的 DNS 授權類型為
FIXED_RECORD。如要獨立管理多個專案的憑證,請選取「每個專案的授權」核取方塊。 - 按一下「建立 DNS 授權」。
在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。
點選「建立」。
新憑證會顯示在憑證清單中。
gcloud
如要使用 DNS 授權建立 Google 代管的憑證,請執行 certificate-manager certificates create 指令:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAME, *.DOMAIN_NAME" \
--dns-authorizations="AUTHORIZATION_NAMES" \
[--location=LOCATION] \
[--scope=SCOPE]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。DOMAIN_NAME:目標網域名稱。網域名稱必須是完整網域名稱,例如myorg.example.com,或是萬用字元網域,例如*.myorg.example.com。星號點前置字串 (*.) 代表萬用字元憑證。AUTHORIZATION_NAMES:以半形逗號分隔的 DNS 授權名稱清單。LOCATION:目標 Google Cloud 位置。預設值為global。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
Terraform
API
對 certificates.
create 方法發出 POST 要求,建立憑證,如下所示:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
"scope": "SCOPE" //optional
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。CERTIFICATE_NAME:憑證名稱。DOMAIN_NAME:目標網域名稱。網域名稱必須是完整網域名稱,例如myorg.example.com。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
由 CA 服務核發
您可以將憑證管理工具與 CA 服務整合,核發 Google 代管憑證。如要核發全域 Google 管理的憑證,請使用任何區域的區域性 CA 集區。如要核發區域 Google 代管憑證,請使用與憑證位於相同區域的 CA 集區。
建立憑證前,請先設定 CA 服務與 Certificate Manager 的整合。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁中,按一下「新增憑證」。
在「憑證名稱」欄位中,輸入憑證的專屬名稱。
選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。
在「Location」(位置) 部分,選取「Global」(全域) 或「Regional」(區域)。
如果選取「區域」,請從「區域」清單中選取區域。
在「範圍」部分,選取下列任一選項:
- 預設:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。
- 所有區域:如要將憑證用於跨區域內部應用程式負載平衡器。
- 邊緣快取:如果您打算搭配 Media CDN 使用憑證,並在憑證中指定多個網域。
如果選取「區域」位置,則無法使用「範圍」欄位。
在「Certificate type」(憑證類型) 部分,選取「Create Google-managed certificate」(建立 Google 代管的憑證)。
在「Certificate Authority type」(憑證授權單位類型) 部分,選取「Private」(私人)。
在「網域名稱」欄位中,指定以半形逗號分隔的憑證網域名稱清單。每個網域名稱都必須是完整網域名稱,例如
myorg.example.com。在「選取憑證核發設定」中,選取參照目標 CA 集區的憑證核發設定資源名稱。
在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。
點選「建立」。
新憑證會顯示在憑證清單中。
gcloud
如要使用憑證授權單位服務建立 Google 代管的憑證,請使用 certificate-manager certificates create 指令:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config=ISSUANCE_CONFIG_NAME \
[--location="LOCATION"] \
[--scope=SCOPE]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。DOMAIN_NAME:目標網域名稱。網域名稱必須是完整網域名稱,例如myorg.example.com,或是萬用字元網域,例如*.myorg.example.com。星號點前置字串 (*.) 代表萬用字元憑證。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。LOCATION:目標 Google Cloud 位置。預設值為global。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
API
對 certificates.create 方法發出 POST 要求,建立憑證,如下所示:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
"scope": "SCOPE" //optional
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。CERTIFICATE_NAME:憑證名稱。DOMAIN_NAME:目標網域名稱。網域名稱必須是完整網域名稱,例如myorg.example.com。ISSUANCE_CONFIG_NAME:參照目標 CA 集區的憑證核發設定資源名稱。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
上傳自行管理的憑證
如要上傳自行管理的憑證,請上傳憑證 (CRT) 檔案和對應的私密金鑰 (KEY) 檔案。您可以上傳下列類型的全域和區域 X.509 TLS (SSL) 憑證:
- 由您選擇的第三方憑證授權單位 (CA) 產生的憑證。
- 由您控管的憑證授權單位產生的憑證。
- 自行簽署的憑證,如「建立私密金鑰和憑證」一文所述。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁中,按一下「新增憑證」。
在「憑證名稱」欄位中,輸入憑證的專屬名稱。
選用:在「說明」欄位中輸入憑證說明。說明可協助您識別憑證。
在「Location」(位置) 部分,選取「Global」(全域) 或「Regional」(區域)。
如果選取「區域」,請從「區域」清單中選取區域。
在「範圍」部分,選取下列任一選項:
- 預設:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。
- 所有區域:如要將憑證用於跨區域內部應用程式負載平衡器。
- 邊緣快取:如果您打算搭配 Media CDN 使用憑證,並在憑證中指定多個網域。
如果選取「區域」位置,則無法使用「範圍」欄位。
在「憑證類型」部分,選取「建立自行管理的憑證」。
在「憑證」欄位中,執行下列任一操作:
- 按一下「上傳」按鈕,然後選取 PEM 格式的憑證檔案。
- 複製並貼上 PEM 格式憑證的內容。內容開頭必須是
-----BEGIN CERTIFICATE-----,結尾必須是-----END CERTIFICATE-----。
在「私密金鑰憑證」欄位中,執行下列任一操作:
- 按一下「上傳」按鈕,然後選取私密金鑰。私密金鑰必須採用 PEM 格式,且不得受密碼保護。
- 複製並貼上 PEM 格式的私密金鑰內容。私密金鑰開頭須為
-----BEGIN PRIVATE KEY-----,結尾須為-----END PRIVATE KEY-----。
在「標籤」欄位中,指定要與憑證建立關聯的標籤。如要新增標籤,請按一下「新增標籤」,然後指定標籤的鍵和值。
點選「建立」。
新憑證會顯示在憑證清單中。
gcloud
如要建立自行管理的憑證,請使用 certificate-manager certificates create 指令:
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
[--location="LOCATION"] \
[--scope=SCOPE]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。CERTIFICATE_FILE:CRT 憑證檔案的路徑和檔案名稱。PRIVATE_KEY_FILE:KEY 私密金鑰檔案的路徑和檔案名稱。LOCATION:目標 Google Cloud 位置。預設值為global。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
Terraform
如要上傳自行管理的憑證,可以使用具有 self_managed 區塊的 google_certificate_manager_certificate 資源。
API
對 certificates.create 方法發出 POST 要求,即可上傳憑證,如下所示:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
scope: SCOPE
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。CERTIFICATE_NAME:憑證名稱。PEM_CERTIFICATE:憑證 PEM。PEM_KEY:金鑰 PEM。SCOPE:輸入下列其中一個選項:default:如果您打算將憑證用於全域外部應用程式負載平衡器或全域外部 Proxy 網路負載平衡器。all-regions:如果您打算將憑證用於跨區域內部應用程式負載平衡器。edge-cache:如果您打算將憑證用於 Media CDN,並在憑證中指定多個網域。
更新憑證
您可以更新現有憑證,而不必修改其在對應憑證地圖中指派給網域名稱的項目。更新憑證時,請確保新憑證中的 SAN 與現有憑證中的 SAN 完全相符。
Google 代管憑證
如果是 Google 代管的憑證,您只能更新憑證的說明和標籤。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁標籤上,找出要更新的憑證,然後按一下憑證名稱。「憑證詳細資料」頁面會顯示所選憑證的詳細資訊。
按一下「編輯」。系統隨即會顯示「編輯憑證」頁面。
選用:在「說明」欄位中,輸入憑證的新說明。
選用:您可以新增、移除或變更與憑證相關聯的標籤。如要新增標籤,請按一下「新增標籤」按鈕,然後為標籤指定
key和value。按一下 [儲存]。在顯示的「憑證詳細資料」頁面,確認憑證已更新。
gcloud
如要更新 Google 代管的憑證,請使用 certificate-manager certificates update 指令:
gcloud certificate-manager certificates update CERTIFICATE_NAME \
[--description="DESCRIPTION"] \
[--update-labels="LABELS"]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。DESCRIPTION:證書的專屬說明。LABELS:以逗號分隔的清單,列出套用至這項憑證的標籤。
API
對 certificates.patch 方法發出 PATCH 要求,更新憑證,如下所示:
PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。CERTIFICATE_NAME:憑證名稱。DESCRIPTION:憑證說明。LABEL_KEY:套用至憑證的標籤鍵。LABEL_VALUE:套用至憑證的標籤值。
自行管理的憑證
如要更新自行管理的憑證,請上傳下列 PEM 編碼檔案:
- 憑證 CRT 檔案
對應的私密金鑰 KEY 檔案
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁標籤上,找出要更新的憑證,然後按一下憑證名稱。「憑證詳細資料」頁面會顯示所選憑證的詳細資訊。
按一下「編輯」。系統隨即會顯示「編輯憑證」頁面。
選用:在「說明」欄位中,輸入憑證的新說明。
選用步驟:針對「Certificate」(憑證) 欄位,請執行下列其中一項操作:
- 按一下「上傳」按鈕,然後選取 PEM 格式的憑證檔案。
- 複製並貼上 PEM 格式憑證的內容。內容開頭必須是
-----BEGIN CERTIFICATE-----,結尾必須是-----END CERTIFICATE-----。
選用步驟:針對「私密金鑰憑證」欄位,執行下列其中一項操作:
- 按一下「上傳」按鈕,然後選取私密金鑰。私密金鑰必須採用 PEM 格式,且不得受密碼保護。
- 複製並貼上 PEM 格式的私密金鑰內容。私密金鑰開頭須為
-----BEGIN PRIVATE KEY-----,結尾須為-----END PRIVATE KEY-----。
選用:您可以新增、移除或變更與憑證相關聯的標籤。如要新增標籤,請按一下「新增標籤」按鈕,然後為標籤指定
key和value。按一下 [儲存]。在顯示的「憑證詳細資料」頁面,確認憑證已更新。
gcloud
如要更新自行管理的憑證,請使用 certificate-manager
certificates update指令:
gcloud certificate-manager certificates update CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--description="DESCRIPTION" \
--update-labels="LABELS" \
[--location="LOCATION"]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。CERTIFICATE_FILE:CRT 憑證檔案的路徑和檔案名稱。PRIVATE_KEY_FILE:KEY 私密金鑰檔案的路徑和檔案名稱。DESCRIPTION:這個認證的專屬說明值。LABELS:以逗號分隔的清單,列出套用至這項憑證的標籤。LOCATION:目標 Google Cloud 位置。這個標記是選用的,這個旗標僅適用於區域憑證。
API
對 certificates.patch 方法發出 PATCH 要求,更新憑證,如下所示:
PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
self_managed: { // Self-managed certificates only
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。這個標記是選用的,這個旗標僅適用於區域憑證。CERTIFICATE_NAME:憑證名稱。PEM_CERTIFICATE:憑證 PEM。PEM_KEY:金鑰 PEM。DESCRIPTION:憑證的意義說明。LABEL_KEY:套用至憑證的標籤鍵。LABEL_VALUE:套用至憑證的標籤值。
列出憑證
您可以查看專案的所有憑證及其詳細資料,例如區域、主機名稱、到期日和類型。
主控台
Google Cloud 控制台的「憑證管理工具」頁面最多可顯示 10,000 個憑證。如果專案包含超過 10,000 個由 Certificate Manager 管理的憑證,請使用 gcloud CLI 指令。
如要查看由 Certificate Manager 佈建的憑證,請按照下列步驟操作:
前往 Google Cloud 控制台的「Certificate Manager」頁面。
按一下「憑證」分頁標籤。這個分頁會列出所選專案中,由 Certificate Manager 管理的所有憑證。
如要查看透過 Cloud Load Balancing 佈建的憑證,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「Certificate Manager」頁面的「Classic Certificates」分頁。
在「傳統憑證」分頁中,您可以查看所選專案中所有已設定的傳統憑證清單。
傳統版憑證並非由 Certificate Manager 管理。如要進一步瞭解如何管理憑證,請參閱使用 Google 代管憑證或使用自行管理的憑證說明文件。
gcloud
如要列出憑證,請使用 certificate-manager certificates list 指令:
gcloud certificate-manager certificates list \
[--location="LOCATION"] \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
更改下列內容:
LOCATION:目標 Google Cloud 位置。如要列出所有區域的憑證,請使用-做為值。預設值為-。這個旗標是選用的。FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,您可以根據下列條件篩選結果:
- 到期時間:
--filter='expire_time >= "2021-09-01T00:00:00Z"' - SAN DNS 名稱:
--filter='san_dnsnames:"example.com"' - 認證狀態:
--filter='managed.state=FAILED' - 憑證類型:
--filter='managed:*' - 標籤和建立時間:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需更多可搭配 Certificate Manager 使用的篩選器範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
- 到期時間:
PAGE_SIZE:每頁要傳回的結果數。LIMIT:要傳回的結果數上限。SORT_BY:以逗號分隔的name欄位清單,傳回的結果會依這些欄位排序。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波狀符號 (~)。
API
對 certificates.list 方法發出 LIST 要求,即可列出憑證,如下所示:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。如要列出所有區域的憑證,請使用-做為值。FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,您可以根據下列條件篩選結果:
- 到期時間:
--filter='expire_time >= "2021-09-01T00:00:00Z"' - SAN DNS 名稱:
--filter='san_dnsnames:"example.com"' - 認證狀態:
--filter='managed.state=FAILED' - 憑證類型:
--filter='managed:*' 標籤和建立時間:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'如要查看更多可搭配 Certificate Manager 使用的篩選條件範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
- 到期時間:
PAGE_SIZE:每頁要傳回的結果數。SORT_BY:以逗號分隔的name欄位清單,傳回的結果會依這些欄位排序。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波狀符號 (~)。
查看憑證狀態
您可以查看現有憑證的狀態,包括佈建狀態和其他詳細資訊。
主控台
如果專案包含超過 10,000 個由憑證管理工具管理的憑證,Google Cloud 控制台的「憑證管理工具」頁面就不會列出這些憑證。請改用 gcloud CLI 指令。不過,如果您有憑證「詳細資料」頁面的直接連結,即可在 Google Cloud 控制台中查看詳細資料。
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在隨即顯示的頁面中,選取「憑證」分頁標籤。
在「憑證」分頁中,前往目標憑證,然後按一下憑證名稱。「憑證詳細資料」頁面會顯示所選憑證的詳細資訊。
選用:如要查看這個憑證的 Certificate Manager API REST 回應,請按一下「對等 REST」。
選用:如果憑證有相關聯的憑證核發設定,且您想查看該設定,請在「核發設定」欄位中,按一下相關聯的憑證核發設定資源名稱。 Google Cloud 控制台會顯示憑證核發設定的完整設定。
gcloud
如要查看憑證狀態,請使用 certificate-manager
certificates describe 指令:
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
[--location="LOCATION"]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。LOCATION:目標 Google Cloud 位置。預設位置為global。這個旗標是選用的。
API
如要查看憑證狀態,請向 certificates.get 方法發出 GET 要求,如下所示:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。CERTIFICATE_NAME:憑證名稱。
刪除憑證
刪除憑證前,請先從參照該憑證的所有憑證對應項目中移除憑證,否則刪除作業會失敗。詳情請參閱「刪除憑證對應項目」。
主控台
前往 Google Cloud 控制台的「Certificate Manager」頁面。
在「憑證」分頁中,選取要刪除的憑證旁的核取方塊。
點選「刪除」。
在出現的對話方塊中,按一下 [Delete] (刪除) 以進行確認。
gcloud
如要刪除憑證,請使用 certificate-manager certificates delete 指令:
gcloud certificate-manager certificates delete CERTIFICATE_NAME \
[--location="LOCATION"]
更改下列內容:
CERTIFICATE_NAME:憑證名稱。LOCATION:目標 Google Cloud 位置。預設位置為global。這個旗標是選用的。
API
如要刪除憑證,請對 certificates.delete 方法發出 DELETE 要求,如下所示:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 ID。LOCATION:目標 Google Cloud 位置。CERTIFICATE_NAME:憑證名稱。