Gestisci i certificati

In questa pagina viene descritto come utilizzare Gestione certificati per creare e gestire i certificati SSL (Transport Layer Security). Gestione certificati supporta i seguenti tipi di certificati TLS (SSL):

  • I certificati gestiti da Google sono certificati che Google Cloud ottiene e gestisce per te. Puoi creare i seguenti tipi di certificati gestiti da Google con Gestore certificati:
    • Certificati globali
      • Certificati gestiti da Google con autorizzazione del bilanciatore del carico
      • Certificati gestiti da Google con autorizzazione DNS
      • Certificati gestiti da Google con Certificate Authority Service (CA Service)
    • Certificati a livello di regione
      • Certificati regionali gestiti da Google
      • Certificati regionali gestiti da Google con CA Service
  • I certificati autogestiti sono certificati che ottieni, di cui esegui il provisioning e rinnovi in autonomia.

Per ulteriori informazioni sui certificati, vedi Come funziona Gestore certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi dell'interfaccia a riga della gcloud CLI utilizzati in questa pagina, consulta il riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea un certificato gestito da Google con autorizzazione del bilanciatore del carico

Per creare un certificato gestito da Google con autorizzazione del bilanciatore del carico, completa i passaggi di questa sezione. Puoi creare certificati gestiti da Google con autorizzazione del bilanciatore del carico solo nella località global.

Per specificare più nomi di dominio per il certificato, fornisci un elenco delimitato da virgole di nomi di dominio di destinazione per il certificato.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Tipo di autorizzazione, scegli Autorizzazione bilanciatore del carico.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole di domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

Terraform

Per creare un certificato gestito da Google, puoi utilizzare una risorsa google_certificate_manager_certificate con un blocco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google con autorizzazione DNS

Per creare un certificato globale gestito da Google con autorizzazione DNS, segui questi passaggi:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per le istruzioni, consulta la sezione Creazione di un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per le istruzioni, consulta Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un certificato regional gestito da Google, consulta Creare un certificato gestito da Google a livello di regione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se al nome di dominio è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea autorizzazione DNS.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS sia associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole di domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAMES: un elenco delimitato da virgole di nomi delle autorizzazioni DNS che hai creato per questo certificato.

Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza il comando seguente. Un certificato per il nome di dominio con caratteri jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso asterisco (*.) indica un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per il certificato.

Terraform

Per creare un certificato gestito da Google con autorizzazione DNS, puoi utilizzare una risorsa google_certificate_manager_certificate con l'attributo dns_authorizations nel blocco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, vedi Comandi Terraform di base.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso dell'asterisco (*.) rappresenta un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome delle autorizzazioni DNS che hai creato per questo certificato.

Per gestire in modo indipendente i certificati in più progetti, puoi utilizzare l'autorizzazione DNS per progetto (anteprima). Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, consulta Creare un'autorizzazione DNS.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google emesso da CA Service

Per creare un certificato gestito da Google emesso da un'istanza del servizio CA sotto il tuo controllo, completa i passaggi descritti in questa sezione. Puoi creare sia regional che global certificati gestiti da Google. Per informazioni su come creare un certificato gestito da Google a livello di regione emesso da CA Service, consulta Creare un certificato gestito da Google a livello di regione emesso da CA Service

Per completare questa attività, devi disporre dei seguenti ruoli nel progetto Google Cloud di destinazione:

Per ulteriori informazioni sui comandi dell'interfaccia a riga della gcloud CLI utilizzati in questa sezione, consulta il riferimento per l'interfaccia a riga di comando di Certificate Manager.

Configura l'integrazione del servizio CA con Gestore certificati

Se non lo hai già fatto, devi configurare Certificate Manager per l'integrazione con CA Service come descritto in questa sezione. Se un criterio di emissione dei certificati è in vigore sul pool di CA di destinazione, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:

  • Il criterio di emissione del certificato ha bloccato il certificato richiesto. In questo caso, non ti verrà addebitato alcun costo perché il certificato non è stato emesso.
  • Il criterio ha applicato al certificato modifiche che non sono supportate da Gestore certificati. In questo caso, la fatturazione avviene comunque perché il certificato è stato emesso, anche se non è completamente compatibile con Certificate Manager.

Per eventuali problemi relativi alle limitazioni dei criteri di emissione, consulta la pagina Risoluzione dei problemi.

Per configurare l'integrazione del servizio CA con Gestore certificati, segui questi passaggi:

  • Concedi al gestore certificati la possibilità di richiedere certificati dal pool di CA di destinazione:
    1. Utilizza il comando seguente per creare un account di servizio di Certificate Manager nel progetto Google Cloud di destinazione:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

    Il comando restituisce il nome dell'account di servizio creato. Ad esempio:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Concedi all'account di servizio Gestore certificati il ruolo Richiedente di certificati all'interno del pool di CA di destinazione nel seguente modo:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione
    • REGION: la regione Google Cloud di destinazione
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio che hai creato nel passaggio 1

  1. Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: un nome univoco che identifica la risorsa di configurazione dell'emissione dei certificati.
    • CA_POOL: il percorso completo della risorsa e il nome del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.
    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni in formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno sette giorni dopo la sua emissione e almeno sette giorni prima della sua scadenza. Questa impostazione è facoltativa.
    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.

    Per scoprire di più sulle risorse di configurazione dell'emissione dei certificati, vedi Gestire la configurazione dell'emissione dei certificati.

Crea un certificato gestito da Google emesso dalla tua istanza di CA Service

Crea un certificato gestito da Google emesso dall'istanza del servizio CA, come segue:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole di domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato a livello di regione gestito da Google emesso da CA Service

Per creare un certificato a livello di regione gestito da Google emesso da un'istanza del servizio CA sotto il tuo controllo, completa i passaggi in questa sezione.

Configura l'integrazione del servizio CA con Gestore certificati

Configura Gestore certificati per l'integrazione con CA Service come segue:

  1. Crea un account di servizio Gestore certificati nel progetto Google Cloud di destinazione:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

Il comando restituisce il nome dell'identità di servizio creata, come mostrato nell'esempio seguente:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Concedi all'account di servizio Gestore certificati il ruolo Richiedente del certificato all'interno del pool di CA di destinazione come segue:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione.
    • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio creato al passaggio 1.

  2. Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: il nome univoco della risorsa di configurazione dell'emissione dei certificati.
    • CA_POOL: il percorso completo della risorsa e il nome del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione dei certificati.
    • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.
    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativa. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato avvenga almeno sette giorni dopo l'emissione e almeno sette giorni prima della scadenza.
    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.
    • DESCRIPTION: una descrizione della risorsa di configurazione dell'emissione dei certificati. Questa impostazione è facoltativa.

Per scoprire di più sulle risorse di configurazione dell'emissione dei certificati, vedi Gestire la configurazione dell'emissione dei certificati.

Crea un certificato a livello di regione gestito da Google emesso dal servizio CA

Crea un certificato a livello di regione gestito da Google emesso dal servizio CA utilizzando la risorsa di configurazione dell'emissione dei certificati creata nel passaggio precedente:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Dall'elenco Regione, seleziona una regione.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole di domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio example.com, www.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google a livello di regione

Per creare un certificato gestito da Google con autorizzazione DNS, segui questi passaggi:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per le istruzioni, consulta la sezione Creazione di un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per le istruzioni, consulta Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un certificato global gestito da Google, vedi Creare un certificato gestito da Google con autorizzazione DNS.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Dall'elenco Regione, seleziona una regione.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco di domini di destinazione delimitato da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se al nome di dominio è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea autorizzazione DNS.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS sia associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.
  • LOCATION: il percorso in cui crei il certificato gestito da Google.

Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza il comando seguente. Un certificato del nome di dominio con caratteri jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il prefisso dell'asterisco (*.) rappresenta un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.
  • LOCATION: il percorso in cui crei il certificato gestito da Google.

Carica un certificato autogestito

Per caricare un certificato autogestito, completa i passaggi descritti in questa sezione. Puoi caricare certificati TLS (SSL) X.509 globali e regionali dei seguenti tipi:

  • Certificati generati da autorità di certificazione (CA) di terze parti di tua scelta
  • Certificati generati da autorità di certificazione sotto il tuo controllo
  • Certificati autofirmati, come descritto in Creare una chiave privata e un certificato

Devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file della chiave privata corrispondente (.key)

Consulta Panoramica del deployment per i passaggi necessari per iniziare a gestire il certificato sul bilanciatore del carico.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un Nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. Per Località, scegli una delle seguenti opzioni:

    • Globale: seleziona Globale in modo che il certificato possa essere utilizzato a livello globale. Se scegli Globale, nel menu a discesa Ambito seleziona una delle seguenti opzioni:
      • Predefinito: i certificati con ambito predefinito vengono forniti dai data center principali di Google.
      • Cache perimetrale: i certificati con questo ambito sono certificati speciali e vengono pubblicati dai data center di Google non principali.
      • Tutte le regioni: i certificati vengono forniti da tutte le regioni.
    • A livello di regione: seleziona A livello di regione in modo che il certificato possa essere utilizzato in una regione specifica. Se scegli Regionale, seleziona una regione dall'elenco Regione.

  7. In Tipo di certificato, scegli Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  9. Per il campo Certificato di chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la tua chiave privata. La chiave privata deve essere in formato PEM e non deve essere protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  10. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica key e value per l'etichetta.

  11. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • CERTIFICATE_FILE: il percorso e il nome file del file del certificato .crt.
  • PRIVATE_KEY_FILE: il percorso e il nome file del file della chiave privata .key.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

Terraform

Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: il PEM chiave.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

Aggiorna un certificato

Per aggiornare un certificato esistente senza modificarne le assegnazioni ai nomi di dominio all'interno della mappa di certificati corrispondente, completa i passaggi di questa sezione. Le SAN nel nuovo certificato devono corrispondere esattamente a quelle nel certificato esistente.

Per i certificati gestiti da Google, puoi aggiornare solo i campi description e labels. Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file della chiave privata corrispondente (.key)

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • CERTIFICATE_FILE: il percorso e il nome file del file del certificato .crt.
  • PRIVATE_KEY_FILE: il percorso e il nome file del file della chiave privata .key.
  • DESCRIPTION: un valore di descrizione univoco per questo certificato.
  • LABELS: un elenco separato da virgole di etichette applicate al certificato.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Aggiorna il certificato effettuando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: il PEM chiave.
  • DESCRIPTION: una descrizione significativa per questo certificato.
  • LABEL_KEY: una chiave di etichetta applicata al certificato.
  • LABEL_VALUE: un valore di etichetta applicato a questo certificato.

Elenco certificati

Per elencare i certificati gestiti da Gestore certificati, completa i passaggi di questa sezione. Ad esempio, puoi eseguire le seguenti query:

  • Elenca i certificati in base ai nomi di dominio assegnati
  • Elenca i certificati scaduti

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

Se nel progetto sono presenti più di 10.000 certificati gestiti da Gestore certificati, nella pagina Gestore certificati nella console Google Cloud non possono elencarli. In questi casi, usa il comando gcloud CLI per elencare i certificati.

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati. In questa scheda sono elencati tutti i certificati gestiti da Certificate Manager nel progetto selezionato.

La scheda Certificati classici elenca i certificati nel progetto selezionato di cui è stato eseguito il provisioning direttamente tramite Cloud Load Balancing. Questi certificati non sono gestiti da Gestore certificati. Per istruzioni sulla gestione di questi certificati, consulta uno dei seguenti articoli nella documentazione di Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, usa - come valore. Il valore predefinito è global. Questa impostazione è facoltativa.
  • FILTER: un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
    • Data/ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data e ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Per altri esempi di filtro da utilizzare con Certificate Manager, consulta Risultati degli elenchi di filtri e ordinamento nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.
  • LIMIT: il numero massimo di risultati da restituire.
  • SORT_BY: un elenco di campi name delimitato da virgole in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi ~ al campo.

API

Elenca i certificati effettuando una richiesta LIST al metodo certificates.list come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, usa - come valore.
  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • FILTER: un'espressione che vincola i risultati restituiti a valori specifici.
  • PAGE_SIZE: il numero di risultati da restituire per pagina.
  • SORT_BY: un elenco di nomi di campi delimitato da virgole in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi ~ al campo.

Visualizzare lo stato di un certificato

Per visualizzare lo stato di un certificato esistente, inclusi lo stato di provisioning e altre informazioni dettagliate, completa i passaggi di questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

Se nel progetto sono presenti più di 10.000 certificati gestiti da Gestore certificati, nella pagina Gestore certificati nella console Google Cloud non possono elencarli. In questi casi, utilizza il comando gcloud CLI per elencare i certificati. Tuttavia, se disponi di un link diretto alla pagina Dettagli del certificato, è possibile visualizzare questi dettagli nella pagina Gestore certificati nella console Google Cloud.

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Nella scheda Certificati, vai al certificato di destinazione, quindi fai clic sul nome del certificato.

La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.

  1. (Facoltativo) Per visualizzare la risposta REST dall'API Certificate Manager per questo certificato, fai clic su REST equivalente.

  2. (Facoltativo) Se al certificato è associata una configurazione dell'emissione dei certificati che vuoi visualizzare, nel campo Configurazione di emissione, fai clic sul nome della configurazione dell'emissione dei certificati associata.

    La console Google Cloud mostra la configurazione completa della configurazione dell'emissione dei certificati.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Visualizza lo stato del certificato effettuando una richiesta GET al metodo certificates.get come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Elimina un certificato

Per eliminare un certificato da Gestore certificati, completa i passaggi di questa sezione. Prima di poter eliminare un certificato, devi rimuoverlo da tutte le voci della mappa di certificati che lo fanno riferimento, altrimenti l'eliminazione non va a buon fine.

Per completare questa attività, devi disporre del ruolo Proprietario del gestore certificati nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Elimina il certificato effettuando una richiesta DELETE al metodo certificates.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Passaggi successivi