Richiedere un certificato utilizzando un modello di certificato
Questa pagina descrive come richiedere un certificato utilizzando un modello di certificato.
I modelli di certificato ti consentono di implementare controlli granulari dei criteri sulla loro emissione. Ad esempio, puoi utilizzare i modelli di certificati per standardizzare l'emissione di certificati TLS del server nei pool di CA della tua organizzazione. In alternativa, puoi utilizzare i modelli di certificato per applicare i criteri a un livello più granulare, ad esempio a utenti specifici. Questo è utile nelle situazioni in cui devi limitare i tipi di certificati che persone diverse possono emettere. Puoi anche riutilizzare i modelli per scenari di emissione comuni.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per emettere certificati utilizzando un modello di certificato, chiedi all'amministratore di concederti il ruolo IAM Utente modello di certificato servizio CA (
roles/privateca.templateUser
) nel modello di certificato.Per ulteriori informazioni sui ruoli IAM predefiniti per il servizio CA, consulta Controllo dell'accesso con IAM.
Per informazioni su come concedere un ruolo IAM a un'entità, consulta Concedere un singolo ruolo.
Testa rilascio certificati
Prima di utilizzare un modello di certificato per richiedere un certificato firmato, ti consigliamo di verificare la capacità del modello di generare correttamente un certificato. L'emissione del certificato non riesce quando esiste un conflitto tra i criteri di emissione del pool di CA e quelli del modello di certificato. Testando l'emissione, puoi identificare e risolvere in modo proattivo questi conflitti. Tieni presente che i certificati di test non sono codificati in PEM, non sono firmati e non comportano costi per la generazione.
Per testare l'emissione del certificato utilizzando un modello di certificato:
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestore modelli.
Fai clic sul modello di certificato che vuoi testare. Viene visualizzata la pagina Dettagli modello.
Per creare una richiesta di test, fai clic su Crea certificato e poi su Testa l'emissione del certificato. Viene visualizzato il modulo di richiesta del certificato.
Specifica i seguenti dettagli necessari per creare una richiesta di certificato:
- Regione: posizione del certificato. Deve corrispondere alla località del pool di CA.
- Pool di CA: il pool di CA responsabile del rilascio del certificato.
- Modello di certificato: il modello che vuoi utilizzare per l'emissione del certificato.
- Dominio: il nome di dominio del sito da proteggere con un certificato SSL o TLS.
Fai clic su Genera certificato.
Dopo aver creato il certificato, fai clic su Visualizza. Il certificato del test o del campione viene visualizzato nella stessa pagina in un riquadro separato.
Se l'emissione del certificato non riesce a causa di conflitti, risolvi i conflitti e invia di nuovo la richiesta di certificato di test.
Emettere certificati utilizzando un modello di certificato
Per emettere un certificato firmato utilizzando un modello di certificato, procedi nel seguente modo:
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestore modelli.
Nella pagina Modelli di certificato, fai clic sul modello di certificato che vuoi utilizzare. Viene visualizzata la pagina Dettagli modello.
Fai clic su Crea certificato.
Seleziona una regione. Questa regione deve essere la stessa del pool di CA che intendi utilizzare.
Seleziona il pool di CA.
Per generare un certificato utilizzando una richiesta di firma del certificato (CSR), consulta Richiedi un certificato utilizzando la CSR.
Per generare un certificato utilizzando una chiave generata automaticamente, consulta Richiedi un certificato utilizzando una chiave generata automaticamente.
Genera il certificato
- Fai clic su Genera certificato. Se il certificato viene generato correttamente, viene visualizzato un messaggio.
- Per visualizzare il certificato generato, fai clic su Visualizza certificato e poi su Visualizza.
(Facoltativo) Scarica il certificato firmato
- Per scaricare la catena di certificati con codifica PEM, fai clic su Scarica catena di certificati.
- Per scaricare la chiave privata con codifica PEM associata, fai clic su Scarica chiave privata.
Per emettere un certificato utilizzando un modello di certificato, aggiungi il flag --template
al comando gcloud privateca certificates create
nel seguente formato:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Sostituisci CERTIFICATE_TEMPLATE con il nome del modello di certificato che vuoi utilizzare per emettere questo certificato. Il modello specificato deve trovarsi nella stessa posizione del pool di CA emittente. Per ulteriori informazioni, consulta gli esempi forniti per la generazione di certificati DNS di test e la generazione di certificati di produzione.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
La richiesta di un certificato potrebbe non riuscire se viene rilevato un conflitto di criteri tra il criterio di emissione del pool di CA e il modello di certificato. In questi casi, devi risolvere il conflitto con le norme prima di poter inviare nuovamente la richiesta di certificato.
Condividere un link per la richiesta di un certificato
Per condividere il link a un modulo di richiesta di certificato con altri utenti della tua organizzazione in modo che possano richiedere un certificato utilizzando gli stessi parametri, procedi nel seguente modo:
- Nella console Google Cloud, vai alla scheda Gestione pool CA e fai clic su Condividi link al modulo di richiesta.
- Nel riquadro Condividi link del modulo di richiesta visualizzato, seleziona il pool di CA e il modello di certificato che hai scelto per creare la richiesta. Viene visualizzato il link per la richiesta del certificato.
- Copia il link e condividilo come richiesto.
Visualizzare i certificati emessi utilizzando un modello
Per visualizzare i certificati emessi utilizzando un modello di certificato:
- Nella console Google Cloud, vai alla scheda Gestore dei modelli.
- Fai clic sul modello di certificato che hai utilizzato per l'emissione del certificato.
- Nella pagina Dettagli modello, fai clic su Certificati. Viene visualizzato l'elenco dei certificati emessi utilizzando il modello di certificato selezionato.
Passaggi successivi
- Scopri come visualizzare i certificati emessi.