Questa pagina è stata tradotta dall'API Cloud Translation.

Emetti un certificato utilizzando Google Cloud CLI

In questa pagina viene spiegato come creare un pool di autorità di certificazione (CA) e emettere un certificato utilizzando Google Cloud CLI.

Il servizio CA ti consente di eseguire il deployment e gestire le CA private senza gestire l'infrastruttura.

Prima di iniziare

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Enable the Certificate Authority Service API:
```
gcloud services enable privateca.googleapis.com
```
Make sure that billing is enabled for your Google Cloud project.
Configura una località predefinita da utilizzare nei comandi gcloud di questa guida rapida.
```
gcloud config set privateca/location LOCATION
```
Le risorse di CA Service, come pool di CA e CA, risiedono in un singolo La località Google Cloud che non è più modificabile creando queste risorse.

Nota: se salti questo passaggio, devi aggiungere il flag --location ad alcuni dei i seguenti comandi.

Crea un pool di CA

Un pool di autorità di certificazione (CA) è una raccolta di più CA. un pool di CA offre la possibilità di ruotare le catene di attendibilità senza interruzioni o tempi di inattività carichi di lavoro con scale out impegnativi.

Per creare un pool di CA nel livello Enterprise, esegui questo comando:

gcloud privateca pools create POOL_ID --tier "enterprise"

Sostituisci POOL_ID con il nome del pool di CA.

I nomi di tutte le risorse di CA Service devono contenere solo i caratteri consentiti, ovvero tutte le lettere, i numeri, i trattini e i trattini bassi. La lunghezza massima consentita di un nome è 63 caratteri.

Crea una CA radice

Un pool di CA è vuoto al momento della creazione. Per richiedere certificati da un pool di CA, devi aggiungere una CA.

Per creare una CA radice e aggiungerla al pool di CA che hai creato, esegui il seguente comando:

gcloud privateca roots create CA_ID --pool POOL_ID --subject "CN=Example Prod Root CA, O=Google"

Sostituisci quanto segue:

CA_ID: il nome della CA radice.
POOL_ID: il nome del pool di CA.

Quando crea la CA radice, Certificate Authority Service restituisce il seguente comando:

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

Attiva la CA principale inserendo y quando richiesto dalla CLI gcloud.

Ora che hai un pool di CA con una CA radice, puoi procedere alla creazione di certificati.

Crea un certificato

Per utilizzare la CA appena creata per creare un certificato, segui questi passaggi:

Installa la libreria di crittografia Pyca utilizzando il comando pip.
```
  pip install --user "cryptography>=2.2.0"
```
Il servizio CA utilizza la libreria di crittografia Pyca per generare e memorizzare una nuova coppia di chiavi asimmetriche sulla tua macchina locale. Questa chiave non viene mai inviate al servizio CA.
Per consentire a Google Cloud SDK di utilizzare la libreria di crittografia Pyca, devi attivare i pacchetti del sito.
macOS o Linux
```
export CLOUDSDK_PYTHON_SITEPACKAGES=1
```
Windows
```
set CLOUDSDK_PYTHON_SITEPACKAGES=1
```

Crea un certificato.

  gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

Sostituisci POOL_ID con l'ID risorsa del pool di CA che hai creato.

Il servizio CA restituisce la seguente risposta:

  Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

Esegui la pulizia

Esegui la pulizia eliminando il pool di CA, la CA e il progetto che hai creato Guida rapida.

Revoca il certificato.
Elimina la CA.

Puoi eliminare una CA solo dopo aver revocato tutti i certificati rilasciati.
1. Disabilita la CA.
```
gcloud privateca roots disable CA_ID --pool=POOL_ID
```
  Sostituisci quanto segue:
  - CA_ID: l'ID risorsa della CA.
  - POOL_ID: l'ID risorsa del pool di CA.
2. Elimina la CA.
```
gcloud privateca roots delete CA_ID --pool=POOL_ID
```
Lo stato della CA diventa Deleted. Eliminazioni definitivamente da CA Service la CA 30 giorni dopo l'avvio dell'eliminazione.
Elimina il pool di CA.

Puoi eliminare un pool di CA solo dopo che la CA al suo interno è stata definitivamente eliminati.
```
gcloud privateca pools delete POOL_ID
```
Elimina il progetto.

Passaggi successivi

Scopri di più sui pool di CA.
Scopri di più sulla creazione di un pool di CA.
Scopri di più sulla creazione di CA.
Scopri di più sulla richiesta di certificati.
Scopri come controllare il tipo di certificati che un pool di CA può emettere.