Emettere un certificato utilizzando Google Cloud CLI
Questa pagina spiega come creare un pool di autorità di certificazione (CA) e emettere un certificato utilizzando l'interfaccia a riga di comando Google Cloud.
CA Service ti consente di eseguire il deployment e la gestione di CA private senza gestire l'infrastruttura.
Prima di iniziare
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
Enable the Certificate Authority Service API:
gcloud services enable privateca.googleapis.com
Make sure that billing is enabled for your Google Cloud project.
Configura una posizione predefinita da utilizzare nei comandi
gcloud
in questo quickstart.gcloud config set privateca/location LOCATION
Le risorse del servizio CA, come i pool di CA e le CA, si trovano in un'unica Google Cloud località che non puoi modificare dopo aver creato queste risorse.
Crea un pool di CA
Un pool di autorità di certificazione (CA) è una raccolta di più CA. Un pool di CA consente di ruotare le catene di attendibilità senza interruzioni o tempi di inattività per i carichi di lavoro.
Per creare un pool di CA nel livello Enterprise, esegui il seguente comando:
gcloud privateca pools create POOL_ID --location LOCATION --tier "enterprise"
Sostituisci quanto segue:
- POOL_ID: il nome del pool di CA.
- LOCATION: la posizione del pool di CA. Per l'elenco completo delle località, consulta Località.
I nomi di tutte le risorse del servizio CA devono contenere solo i caratteri consentiti, ovvero tutte le lettere, i numeri, i trattini e i trattini bassi. La lunghezza massima consentita per un nome è di 63 caratteri.
Crea una CA radice
Un pool di CA è vuoto al momento della creazione. Per richiedere certificati da un pool di CA, devi aggiungere una CA.
Per creare una CA radice e aggiungerla al pool di CA che hai creato, esegui il seguente comando:
gcloud privateca roots create CA_ID --pool POOL_ID --location LOCATION --subject "CN=Example Prod Root CA, O=Google"
Sostituisci quanto segue:
- CA_ID: il nome della CA radice.
- POOL_ID: il nome del pool di CA.
- LOCATION: la posizione del pool di CA. Per l'elenco completo delle località, consulta Località.
Quando crea l'autorità di certificazione principale, Certificate Authority Service restituisce il seguente comando:
Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]
Attiva la CA principale inserendo y
quando richiesto dalla CLI gcloud.
Ora che hai un pool di CA con una CA radice, puoi procedere alla creazione di certificati.
Crea un certificato
Per utilizzare la CA appena creata per creare un certificato, segui questi passaggi:
Installa la libreria di crittografia Pyca utilizzando il comando
pip
.pip install --user "cryptography>=2.2.0"
Il servizio CA utilizza la libreria di crittografia Pyca per generare e memorizzare una nuova coppia di chiavi asimmetriche sulla tua macchina locale. Questa chiave non viene mai inviata al servizio CA.
Per consentire a Google Cloud SDK di utilizzare la libreria di crittografia Pyca, devi attivare i pacchetti del sito.
macOS o Linux
export CLOUDSDK_PYTHON_SITEPACKAGES=1
Windows
set CLOUDSDK_PYTHON_SITEPACKAGES=1
Crea un certificato.
gcloud privateca certificates create \ --issuer-pool POOL_ID \ --issuer-location ISSUER_LOCATION \ --subject "CN=Example Prod,O=Google" \ --generate-key \ --key-output-file=./key \ --cert-output-file=./cert.pem
Sostituisci quanto segue:
- POOL_ID: l'ID risorsa del pool di CA che hai creato.
- ISSUER_LOCATION: la posizione dell'autorità di certificazione che ha emesso il certificato digitale.
Il servizio CA restituisce la seguente risposta:
Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]
Esegui la pulizia
Esegui la pulizia eliminando il pool di CA, la CA e il progetto che hai creato per questa walkthrough.
Revoca il certificato.
- CERT_NAME: il nome del certificato che vuoi revocare.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- LOCATION: la posizione del pool di CA.
Per revocare un certificato, esegui il seguente comando:
gcloud privateca certificates revoke --certificate CERT_NAME --issuer-pool POOL_ID --location LOCATION
Sostituisci quanto segue:
Elimina la CA.
Puoi eliminare una CA solo dopo aver revocato tutti i certificati da essa emessi.
Disabilita la CA.
gcloud privateca roots disable CA_ID --pool=POOL_ID --location=LOCATION
Sostituisci quanto segue:
- CA_ID: l'ID risorsa della CA.
- POOL_ID: l'ID risorsa del pool di CA.
- LOCATION: la posizione del pool di CA. Per un elenco completo delle località, consulta Località.
Elimina la CA.
gcloud privateca roots delete CA_ID --pool=POOL_ID --location=LOCATION
Lo stato della CA diventa
Deleted
. Il servizio CA elimina definitivamente la CA 30 giorni dopo l'avvio dell'eliminazione.Elimina il pool di CA.
Puoi eliminare un pool di CA solo dopo che la CA al suo interno è stata eliminata definitivamente.
gcloud privateca pools delete POOL_ID --location=LOCATION
Elimina il progetto.
Delete a Google Cloud project:
gcloud projects delete PROJECT_ID
Passaggi successivi
- Scopri di più sui pool di CA.
- Scopri di più sulla creazione di un pool di CA.
- Scopri di più sulla creazione di CA.
- Scopri di più su come richiedere i certificati.
- Scopri come controllare il tipo di certificati che un pool di CA può emettere.