Richiedere un certificato utilizzando un modello di certificato
In questa pagina viene descritto come richiedere un certificato utilizzando un modello di certificato.
I modelli di certificato consentono di implementare controlli dei criteri granulari durante l'emissione dei certificati. Ad esempio, puoi utilizzare i modelli di certificato per standardizzare l'emissione di certificati TLS del server nei pool di CA della tua organizzazione. In alternativa, puoi utilizzare i modelli di certificato per applicare criteri a un livello più granulare, ad esempio per utenti specifici. Questa funzionalità è utile nelle situazioni in cui è necessario limitare i tipi di certificati che possono essere emessi da persone diverse. Puoi anche riutilizzare i modelli per scenari di emissione comuni.
Prima di iniziare
Per ottenere le autorizzazioni necessarie per emettere certificati utilizzando un modello di certificato, chiedi all'amministratore di concederti il ruolo IAM Utente modello certificato servizio CA (
roles/privateca.templateUser
) per il modello di certificato.Per ulteriori informazioni sui ruoli IAM predefiniti per CA Service, consulta Controllo dell'accesso con IAM.
Per informazioni sulla concessione di un ruolo IAM a un'entità, consulta Concedi un singolo ruolo.
Testa rilascio certificati
Prima di utilizzare un modello di certificato per richiedere un certificato firmato, ti consigliamo di verificare la capacità del modello di generare correttamente un certificato. L'emissione del certificato non va a buon fine quando c'è un conflitto tra i criteri di emissione del pool di CA e i criteri del modello di certificato. Testando l'emissione, puoi identificare e risolvere proattivamente questi conflitti. Tieni presente che i certificati di test non sono con codifica PEM, non sono firmati e non prevedono addebiti per la generazione.
Per testare l'emissione dei certificati utilizzando un modello di certificato:
Console
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestione modelli.
Fai clic sul modello di certificato che vuoi testare. Viene visualizzata la pagina Dettagli modello.
Per creare una richiesta di test, fai clic su Crea certificato, quindi su Verifica emissione del certificato. Viene visualizzato il modulo di richiesta del certificato.
Specifica i seguenti dettagli necessari per creare una richiesta di certificato:
- Regione: la località del certificato. Deve essere la stessa località del pool di CA.
- Pool di CA: il pool di CA responsabile dell'emissione del certificato.
- Modello di certificato: il modello che vuoi utilizzare per l'emissione del certificato.
- Dominio: il nome di dominio del sito che vuoi proteggere con un certificato SSL o TLS.
Fai clic su Genera certificato.
Dopo aver creato il certificato, fai clic su Visualizza. Il certificato di test o di esempio viene visualizzato sulla stessa pagina in un riquadro separato.
Se l'emissione del certificato non va a buon fine a causa di conflitti, risolvi i conflitti e invia di nuovo la richiesta di certificato di test.
Emetti certificati utilizzando un modello di certificato
Per emettere un certificato firmato utilizzando un modello di certificato:
Console
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestione modelli.
Nella pagina Modelli di certificato, fai clic sul modello di certificato che vuoi utilizzare. Viene visualizzata la pagina Dettagli modello.
Fai clic su Crea certificato.
Seleziona una regione. Questa regione deve essere uguale a quella del pool di CA che intendi utilizzare.
Seleziona il pool di CA.
Per generare un certificato utilizzando una richiesta di firma del certificato (CSR), vedi Richiedere un certificato utilizzando la richiesta di firma del certificato (CSR).
Per generare un certificato utilizzando una chiave generata automaticamente, consulta Richiedere un certificato utilizzando una chiave generata automaticamente.
Genera il certificato
- Fai clic su Genera certificato. Se il certificato è stato generato, viene visualizzato un messaggio.
- Per visualizzare il certificato generato, fai clic su Visualizza certificato, quindi fai clic su Visualizza.
(Facoltativo) Scarica il certificato firmato
- Per scaricare la catena di certificati con codifica PEM, fai clic su Scarica catena di certificati.
- Per scaricare la chiave privata con codifica PEM associata, fai clic su Scarica chiave privata.
gcloud
Per emettere un certificato utilizzando un modello di certificato, aggiungi il flag --template
al comando gcloud privateca certificates create
nel seguente formato:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Sostituisci CERTIFICATE_TEMPLATE con il nome del modello di certificato che vuoi utilizzare per emettere questo certificato. Il modello specificato deve trovarsi nella stessa posizione del pool di CA emittente. Per saperne di più, consulta gli esempi forniti per la generazione di certificati DNS di prova e la generazione di certificati di produzione.
Terraform
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
Condividi il link di una richiesta di certificato
Per condividere il link di un modulo di richiesta di certificato con altri utenti della tua organizzazione in modo che possano richiederlo utilizzando gli stessi parametri:
Console
- Nella console Google Cloud, vai alla scheda Gestore del pool di CA e fai clic su Condividi link al modulo di richiesta.
- Nel riquadro Condividi link al modulo di richiesta visualizzato, seleziona il pool di CA e il modello di certificato che hai scelto per creare la richiesta. Viene visualizzato il link alla richiesta di certificato.
- Copia il link e condividilo in base alle tue esigenze.
Risolvi i conflitti delle norme
Le richieste di certificato hanno esito negativo con un errore relativo a un argomento non valido quando c'è un conflitto tra il criterio di emissione del pool di CA e il modello di certificato. Ad esempio, se la stessa estensione (come l'utilizzo della chiave di base) è definita nei valori di riferimento del pool di CA e nei valori predefiniti del modello di certificato. Oppure quando un criterio ha vincoli relativi alle estensioni che escludono un'estensione specifica, mentre l'altro criterio ne definisce un valore nei valori di riferimento.
Per visualizzare e risolvere i conflitti delle norme:
Console
- Fai clic sul link Strumento per la risoluzione dei problemi relativi ai criteri di emissione visualizzato con il messaggio di errore. Viene visualizzata una pagina dello strumento per la risoluzione dei problemi in cui puoi confrontare i valori di riferimento e i vincoli delle estensioni nel criterio di emissione del pool di CA con i valori di riferimento e i vincoli delle estensioni nel criterio del modello di certificato. Tieni presente che i conflitti delle norme sono evidenziati.
- Accedi al pool di CA o al modello di certificato per aggiornare i valori in conflitto e risolvere il conflitto.
- Una volta risolto il conflitto, invia di nuovo la richiesta di certificato.
Visualizza i certificati emessi utilizzando un modello
Per visualizzare i certificati emessi utilizzando un modello di certificato:
Console
- Nella console Google Cloud, vai alla scheda Template Manager.
- Fai clic sul modello di certificato che hai utilizzato per l'emissione del certificato.
- Nella pagina Dettagli modello, fai clic su Certificati. Viene visualizzato l'elenco dei certificati emessi utilizzando il modello di certificato selezionato.
Passaggi successivi
- Scopri come visualizzare i certificati emessi.