憑證對應關係會將憑證與目標主機名稱和目標憑證對應組合建立關聯。本頁說明如何建立及管理憑證對應項目。
詳情請參閱「憑證對應項目」。
建立憑證對應關係
您可以建立憑證對應關係,並將最多四個憑證與該項目建立關聯。為主機名稱指定多個憑證時,建議您為每個憑證使用不同的金鑰演算法。舉例來說,您可以為一個憑證使用 ECDSA,另一個憑證則使用 RSA。將多個憑證與單一憑證對應關係建立關聯,也有助於將自行管理憑證遷移至 Google 代管憑證。
如要進一步瞭解負載平衡器在交握期間選取憑證的方式,請參閱憑證選擇邏輯。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。
如要建立新憑證對應組合,請按一下「建立憑證對應組合」。
如要使用現有憑證對應組合,請從憑證對應組合清單中選取所需組合。
在「建立憑證對應組合」或「編輯憑證對應組合」頁面中,按一下「新增對應關係」。「新增對應關係」視窗隨即開啟。
在「Map entry name」(對應項目名稱) 欄位中,輸入憑證對應關係名稱,例如
my-cert-map-entry-01。在「Description」(說明) 欄位中,輸入憑證對應關係說明,例如
My new cert map entry。如要將新的憑證對應關係設為憑證對應組合的主要項目,請選取「主要項目」。詳情請參閱「建立主要憑證對應關係」。
注意:您只能將一個主要憑證對應關係與憑證對應組合建立關聯。
在「主機名稱」欄位中,輸入要與憑證對應關係建立關聯的主機名稱,例如
www.example.com。注意:如果是主要憑證對應關係,主機名稱預設為
<PRIMARY>,且無法變更。如要將憑證與憑證對應關係建立關聯,請按一下「選取憑證」。您可以選取現有憑證,或按一下「新增憑證」建立憑證。
注意:您最多可以將四個憑證與憑證對應關係建立關聯。
如要新增標籤並與憑證對應關係建立關聯,請按一下「新增標籤」,然後輸入標籤的鍵和值。
按一下「Add」(新增)。憑證對應關係及其相關聯的憑證會新增至憑證對應組合。
gcloud
如要將多個憑證與憑證對應關係建立關聯,請提供以半形逗號分隔的憑證名稱清單。您必須為每個子網域建立個別的對應關係。
如要建立憑證對應關係,請使用 gcloud certificate-manager maps entries create 指令:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAMES" \
--hostname="HOSTNAME"
更改下列內容:
CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_NAMES:以逗號分隔的憑證名稱清單,您要將這些憑證與憑證對應關係建立關聯HOSTNAME:要與憑證對應關係建立關聯的主機名稱
API
如要將多個憑證與憑證對應關係建立關聯,請提供以半形逗號分隔的憑證名稱清單。您必須為每個子網域建立個別的對應關係。
如要建立憑證對應關係,請向 certificateMaps.certificateMapEntries.create 方法發出 POST 要求:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME
{
hostname: "HOSTNAME"
certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱HOSTNAME:要與憑證對應關係建立關聯的主機名稱CERTIFICATE_NAME1:要與憑證對應關係建立關聯的第一個憑證名稱CERTIFICATE_NAME2:要與憑證對應關係建立關聯的第二個憑證名稱
Terraform
如要建立憑證對應關係,請使用 google_certificate_manager_certificate_map_entry 資源。
如要瞭解如何套用或移除 Terraform 設定,請參閱「基本 Terraform 指令」。
建立主要憑證對應關係
您可以指定主要憑證對應關係,如果用戶端未提供主機名稱,或負載平衡器無法將主機名稱與設定的憑證對應關係相符,負載平衡器就會提供該項目。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。
如要建立新憑證對應組合,請按一下「建立憑證對應組合」。
如要使用現有憑證對應組合,請從憑證對應組合清單中選取所需組合。
新增憑證對應關係時,請在「建立憑證對應組合」頁面上,按一下「新增對應關係」。
如要編輯現有的憑證對應關係,請在「編輯憑證對應組合」頁面中,按一下對應關係資料列「動作」欄下方的 圖示,然後選取「編輯」。
如要將憑證對應關係設為憑證對應組合的主要項目,請在「新增對應關係」視窗中選取「主要項目」。
注意:您只能將一個主要憑證對應關係與憑證對應組合建立關聯。
按一下 [儲存]。
gcloud
如要建立主要憑證對應關係,請使用 gcloud certificate-manager maps entries create 指令搭配 set-primary 旗標:
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAMES" \
--set-primary
更改下列內容:
CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_NAMES:以逗號分隔的憑證名稱清單,您要將這些憑證與憑證對應關係建立關聯
API
如要建立憑證對應關係,請向 certificateMaps.certificateMapEntries.create 方法發出 POST 要求:
POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME
{
matcher: "PRIMARY",
certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}
更改下列內容:
PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_NAME1:您要與主要憑證對應關係建立關聯的第一個憑證名稱。CERTIFICATE_NAME2:要與主要憑證對應關係建立關聯的第二個憑證名稱。
如要進一步瞭解負載平衡器在交握期間如何選取憑證,請參閱憑證選擇邏輯。
更新憑證對應關係
更新現有憑證對應關係時,您可以執行下列操作:
- 指派或取消指派憑證
- 變更說明
- 變更標籤
如果您使用 Google Cloud 控制台更新憑證對應項目,也可以執行下列操作:
- 變更地圖項目的名稱。
- 如果沒有其他對應關係已指派為主要項目,請將對應關係指派為憑證對應組合的主要對應關係。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。
在憑證對應組合清單中,按一下所需憑證對應組合。「憑證對應關係詳細資料」頁面隨即開啟。
按一下「編輯」。「編輯憑證對應組合」頁面隨即開啟。
在對應地圖項目的資料列中,按一下「動作」欄下方的 圖示,然後選取「編輯」。「編輯對應關係」視窗隨即開啟。
在「對應項目名稱」欄位中,變更憑證對應項目名稱。
在「Description」(說明) 欄位中,變更憑證對應關係的說明。
如要將憑證對應關係設為憑證對應組合的主要項目,請選取「主要項目」。詳情請參閱「建立主要憑證對應關係」。
注意:您只能將一個主要憑證對應關係與憑證對應組合建立關聯。
在「主機名稱」欄位中,變更要與憑證對應關係建立關聯的主機名稱。
注意:如果是主要憑證對應關係,主機名稱預設為
<PRIMARY>,且無法變更。如要將憑證與憑證對應關係建立關聯,請按一下「選取憑證」。您可以選取現有憑證,或按一下「新增憑證」建立憑證。
注意:您最多可以將四個憑證與憑證對應關係建立關聯。
如要上移或下移認證順序,請點選所需認證的 圖示或 圖示。
如要刪除憑證,請點按所需憑證的「刪除項目」。
如要新增標籤並與憑證對應關係建立關聯,請按一下「新增標籤」,然後輸入標籤的鍵和值。
如要刪除標籤,請按一下所需標籤的「刪除項目」。
按一下 [儲存]。
gcloud
如要更新憑證對應關係,請使用 gcloud certificate-manager maps entries update 指令:
gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME" \
--certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
--description="DESCRIPTION" \
--update-labels="LABELS"
更改下列內容:
CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_NAME:要與憑證對應關係建立關聯的憑證名稱DESCRIPTION:憑證對應關係說明LABELS:套用至憑證對應項目清單的標籤
API
如要更新憑證對應關係,請向 certificateMaps.certificateMapEntries.patch 方法發出 PATCH 要求:
PATCH /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
"certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
"description": "DESCRIPTION",
"labels": { "LABEL_KEY": "LABEL_VALUE" }
}
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_NAME:憑證名稱DESCRIPTION:憑證對應關係說明LABEL_KEY:套用至憑證對應項目中的標籤鍵LABEL_VALUE:套用至憑證對應關係的標籤值
列出憑證對應項目
您可以查看、篩選及排序與憑證對應組合相關聯的所有憑證對應組合項目清單。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁。
在憑證對應組合清單中,按一下所需憑證對應組合。系統會開啟「憑證對應組合詳細資料」頁面,顯示所選憑證對應組合的詳細資訊,以及相關聯的對應項目清單。
gcloud
如要列出與憑證對應組合相關聯的憑證對應關係,請使用 gcloud certificate-manager maps entries list 指令
gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
更改下列內容:
CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,您可以依下列條件篩選結果:
- 放送狀態:
--filter='state=ACTIVE' - 比對器 (設為主要比對器):
--filter='-matcher=PRIMARY' - 主機名稱:
--filter='hostname=example.com' - 已指派的憑證:
--filter='certificates:my-cert' - 標籤和建立時間:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需更多可搭配 Certificate Manager 使用的篩選器範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
- 放送狀態:
PAGE_SIZE:每頁要傳回的結果數LIMIT:要傳回的結果數上限SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。
API
如要列出與憑證對應組合相關聯的憑證對應關係,請向 certificateMaps.certificateMapEntries.list 方法發出 GET 要求:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
更改下列內容:
PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_MAP_NAME:目標憑證對應的名稱FILTER:運算式,可將傳回的結果限制為特定值。舉例來說,您可以依下列條件篩選結果:
- 放送狀態:
--filter='state=ACTIVE' - 比對器 (設為主要比對器):
--filter='-matcher=PRIMARY' - 主機名稱:
--filter='hostname=example.com' - 已指派的憑證:
--filter='certificates:my-cert' - 標籤和建立時間:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需更多可搭配 Certificate Manager 使用的篩選條件範例,請參閱 Cloud Key Management Service 說明文件中的「排序及篩選清單結果」。
- 放送狀態:
PAGE_SIZE:每頁要傳回的結果數SORT_BY:以逗號分隔的name欄位清單,做為傳回結果的排序依據。預設排序順序為遞增;如要遞減排序,請在欄位前面加上波浪號 (~)。
查看憑證對應關係的狀態
您可以查看與憑證對應組合相關聯的憑證對應關係詳細資料和狀態。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁。
在憑證對應組合清單中,按一下所需憑證對應組合。系統會開啟「憑證對應組合詳細資料」頁面,顯示所選憑證對應組合的詳細資訊,以及相關聯的對應項目清單。
在「對應項目」部分中,按一下要查看的對應項目名稱。「對應關係詳細資料」頁面隨即開啟,顯示所選對應關係項目的詳細資訊。
gcloud
如要查看與憑證對應組合相關聯的憑證對應關係狀態,請使用 gcloud certificate-manager maps entries describe 指令:
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
更改下列內容:
CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯
輸出結果會與下列內容相似:
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
API
如要查看與憑證對應組合相關聯的憑證對應關係狀態,請向 certificateMaps.certificateMapEntries.get 方法發出 GET 要求:
GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱
刪除憑證對應關係項目
刪除憑證對應關係後,與該憑證對應關係相關聯的憑證就會從目標 Proxy 中分離。
刪除憑證對應關係不會從Google Cloud刪除相關聯的憑證。您必須手動刪除這些憑證。
控制台
在 Google Cloud 控制台中,前往「Certificate Manager」頁面,然後按一下「Certificate maps」分頁標籤。
在憑證對應組合清單中,按一下所需憑證對應組合。「憑證對應關係詳細資料」頁面隨即開啟。
按一下「編輯」。「編輯憑證對應組合」頁面隨即開啟。
在對應關係項目的列中,按一下「動作」欄下方的 圖示,選取「刪除」,然後按一下「刪除」。
gcloud
如要刪除與憑證對應組合相關聯的憑證對應關係,請使用 gcloud certificate-manager maps entries delete 指令:
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
更改下列內容:
CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱CERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯
API
如要刪除與憑證對應組合相關聯的憑證對應關係,請對 certificateMaps.certificateMapEntries.delete 方法發出 DELETE 要求:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME
更改下列內容:
PROJECT_ID: Google Cloud 專案的 IDCERTIFICATE_MAP_NAME:憑證對應組合的名稱,憑證對應關係會與該名稱建立關聯CERTIFICATE_MAP_ENTRY_NAME:憑證對應關係名稱