Questa pagina descrive come utilizzare Gestore certificati per creare e gestire i certificati SSL (Transport Layer Security). Gestore certificati supporta seguenti tipi di certificati TLS (SSL):
- I certificati gestiti da Google sono certificati che Google Cloud
che ottiene e gestisce per te. Puoi creare i seguenti tipi di account
certificati con Gestore certificati:
- Certificati globali
- .
- Certificati gestiti da Google con autorizzazione del bilanciatore del carico
- Certificati gestiti da Google con autorizzazione DNS
- Certificati gestiti da Google con Certificate Authority Service (CA Service)
- Certificati a livello di regione
- .
- Certificati regionali gestiti da Google
- Certificati regionali gestiti da Google con CA Service
- Certificati globali
- I certificati autogestiti sono i certificati che ottieni, di cui esegui il provisioning rinnovare l'abbonamento.
Per ulteriori informazioni sui certificati, vedi Come funziona Gestore certificati.
Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.
Per ulteriori informazioni sui comandi gcloud CLI utilizzati in questa pagina, consulta Riferimento per l'interfaccia a riga di comando di Certificate Manager.
Crea un certificato gestito da Google con autorizzazione del bilanciatore del carico
Per creare un certificato gestito da Google con autorizzazione del bilanciatore del carico,
completa i passaggi di questa sezione. Puoi creare account gestiti da Google
certificati con autorizzazione del bilanciatore del carico nella località global.
Per specificare più nomi di dominio per il certificato, fornisci un file delimitato da virgole elenco dei nomi di dominio di destinazione per il certificato.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli Globale.
In Ambito, scegli Predefinito.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Pubblica.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com.In Tipo di autorizzazione, scegli Autorizzazione bilanciatore del carico.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES"
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempiomyorg.example.com.
Terraform
Per creare un certificato gestito da Google, puoi utilizzare un
google_certificate_manager_certificate risorsa
con un blocco managed.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.
API
Crea il certificato effettuando una richiesta POST all'indirizzo
certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
"managed": {
"domains": ["DOMAIN_NAME"],
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio comemyorg.example.com.
Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.
Crea un certificato gestito da Google con autorizzazione DNS
Per creare un certificato globale gestito da Google con autorizzazione DNS, segui questi passaggi:
- Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuna nomi di dominio coperti dal certificato. Per istruzioni, vedi Creazione di un'autorizzazione DNS.
- Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per istruzioni, vedi Aggiunta del record CNAME alla configurazione DNS.
- Completa i passaggi descritti in questa sezione.
Puoi creare sia regional sia global certificati gestiti da Google.
Per informazioni su come creare un certificato regional gestito da Google, consulta
Crea un certificato gestito da Google a livello di regione.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli Globale.
In Ambito, scegli Predefinito.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Pubblica.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com.In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se dominio a cui è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:
- Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea DNS. Finestra di dialogo di autorizzazione.
- Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
- Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS sia associato al nome di dominio.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--dns-authorizations="AUTHORIZATION_NAMES"
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempiomyorg.example.com.AUTHORIZATION_NAMES: un elenco di delimitato da virgole di nomi delle autorizzazioni DNS che hai creato per questo certificato.
Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza la . R nome dominio carattere jolly copre tutti i sottodomini di primo livello di un determinato dominio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="*.DOMAIN_NAME,DOMAIN_NAME" \
--dns-authorizations=AUTHORIZATION_NAME
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso asterisco (*.) indica un certificato con caratteri jolly. La il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com.AUTHORIZATION_NAME: il nome del DNS dell'autorizzazione che hai creato per il certificato.
Terraform
Per creare un certificato gestito da Google con autorizzazione DNS, puoi utilizzare una risorsa google_certificate_manager_certificate
con l'attributo dns_authorizations nel blocco managed.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.
API
Crea il certificato effettuando una richiesta POST all'indirizzo
certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
"managed": {
"domains": ["DOMAIN_NAME"],
"dnsAuthorizations": [
"projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
],
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso dell'asterisco (*.) rappresenta un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com.AUTHORIZATION_NAME: il nome del DNS autorizzazioni create per questo certificato.
Per gestire in modo indipendente i certificati tra più progetti, puoi utilizzare autorizzazione DNS per progetto (anteprima). Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, vedi Creazione di un'autorizzazione DNS.
Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.
Crea un certificato gestito da Google emesso da CA Service
Per creare un certificato gestito da Google emesso da un servizio CA
sotto il tuo controllo, completa i passaggi in questa sezione. Puoi creare
entrambi i certificati gestiti da Google regional e global. Per informazioni
su come creare un certificato a livello di regione gestito da Google emesso
CA Service, vedi
Crea un certificato a livello di regione gestito da Google emesso da CA Service
Per completare questa attività, devi disporre dei seguenti ruoli nella destinazione Progetto Google Cloud:
Per ulteriori informazioni sui comandi gcloud CLI utilizzati in questa sezione, consulta Riferimento per l'interfaccia a riga di comando di Certificate Manager.
Configura l'integrazione del servizio CA con Gestore certificati
Se non lo hai già fatto, devi configurare Gestore certificati per l'integrazione con CA Service come descritto in questa sezione. Se un criterio di emissione dei certificati è in vigore per il pool di CA di destinazione, il provisioning potrebbe non riuscire per uno dei seguenti motivi:
- Il criterio di emissione del certificato ha bloccato il certificato richiesto. Nel In questo caso, non ti verrà addebitato alcun costo perché il certificato non è stato emesso.
- Il criterio ha applicato al certificato modifiche non supportate da Gestore certificati. In questo caso, la fatturazione avviene comunque il certificato sia stato emesso, anche se non è completamente compatibile Gestore certificati.
Per eventuali problemi relativi alle limitazioni previste dalle norme di emissione, consulta Risoluzione dei problemi .
Per configurare l'integrazione di CA Service con Gestore certificati, segui questi passaggi:
- Abilita l'API CA Service.
- Crea un pool di CA.
- Crea una CA e abilitarlo nel pool di CA che hai creato nel passaggio precedente.
- Concedi al gestore certificati la possibilità di richiedere certificati
dal pool di CA di destinazione:
- Utilizza il comando seguente per creare un gestore certificati l'account di servizio nel progetto Google Cloud di destinazione:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del target progetto Google Cloud.Il comando restituisce il nome dell'account di servizio creato. Ad esempio:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com- Concedi all'account di servizio del Gestore certificati Ruolo del richiedente del certificato all'interno del pool di CA di destinazione, come segue:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterSostituisci quanto segue:
CA_POOL: l'ID del pool di CA di destinazioneREGION: la regione Google Cloud di destinazioneSERVICE_ACCOUNT: nome completo del servizio account creato nel passaggio 1
Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: un nome univoco che identifica risorsa di configurazione dell'emissione dei certificati.CA_POOL: il percorso completo della risorsa e il nome della CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni di durata standard standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.ROTATION_WINDOW_PERCENTAGE: la percentuale durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66 percentuale. Occorre impostare la percentuale della finestra di rotazione in relazione al per una durata minima del certificato, in modo che il rinnovo del certificato avvenga per almeno 7 giorni dopo che il certificato è stato emesso e almeno 7 giorni prima scade. Questa impostazione è facoltativa.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questa impostazione è facoltativa.
Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione dell'emissione dei certificati.
Crea un certificato gestito da Google emesso dalla tua istanza di CA Service
Crea un certificato gestito da Google emesso dal servizio CA in questo modo:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli Globale.
In Ambito, scegli Predefinito.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Privato.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com.In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config=ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempiomyorg.example.com.ISSUANCE_CONFIG_NAME: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
API
Crea il certificato effettuando una richiesta POST all'indirizzo
certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME: un nome univoco che lo descrive certificato.DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio comemyorg.example.com.ISSUANCE_CONFIG_NAME: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.
Crea un certificato a livello di regione gestito da Google emesso da CA Service
Per creare un certificato a livello di regione gestito da Google emesso da un di CA Service sotto il tuo controllo, completa i passaggi questa sezione.
Configura l'integrazione del servizio CA con Gestore certificati
Configura Gestore certificati per l'integrazione con CA Service come segue:
Creare un account di servizio Gestore certificati nella destinazione Progetto Google Cloud:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_IDSostituisci
PROJECT_IDcon l'ID del target progetto Google Cloud.
Il comando restituisce il nome dell'identità di servizio creata, come mostrato nell'esempio seguente:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Concedi all'account di servizio Gestore certificati il certificato Ruolo del richiedente all'interno del pool di CA di destinazione, come segue:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequesterSostituisci quanto segue:
CA_POOL: l'ID del pool di CA di destinazione.LOCATION: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.SERVICE_ACCOUNT: nome completo dell'account di servizio creato nel passaggio 1.
Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome univoco del certificato risorsa di configurazione dell'emissione.CA_POOL: il percorso completo della risorsa e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.LOCATION: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questo è facoltativa.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativo. Il valore predefinito è 66%. Devi impostare la rotazione finestra percentuale rispetto alla durata del certificato, in modo che il rinnovo del certificato avviene almeno sette giorni dopo la e almeno 7 giorni prima della scadenza.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questa impostazione è facoltativa.DESCRIPTION: una descrizione del certificato risorsa di configurazione dell'emissione. Questa impostazione è facoltativa.
Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione dell'emissione dei certificati.
Crea un certificato a livello di regione gestito da Google emesso dal servizio CA
Crea un certificato a livello di regione gestito da Google emesso dal tuo Servizio CA che utilizza la risorsa di configurazione dell'emissione dei certificati creati nel passaggio precedente:
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli A livello di regione.
Dall'elenco Regione, seleziona una regione.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Privato.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com.In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
Esegui questo comando:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
--domains="DOMAIN_NAMES" \
--issuance-config="ISSUANCE_CONFIG_NAME" \
--location="LOCATION"
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco del certificato.DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempiomyorg.example.com.ISSUANCE_CONFIG_NAME: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.LOCATION: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.
API
Crea il certificato effettuando una richiesta POST all'indirizzo
certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
"managed": {
"domains": ["DOMAIN_NAME"],
"issuanceConfig": "ISSUANCE_CONFIG_NAME",
},
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud di destinazione.CERTIFICATE_NAME: un nome univoco del certificato.DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, comeexample.comewww.example.com.ISSUANCE_CONFIG_NAME: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.LOCATION: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.
Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.
Crea un certificato gestito da Google a livello di regione
Per creare un certificato gestito da Google con autorizzazione DNS, segui questi passaggi:
- Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuna nomi di dominio coperti dal certificato. Per istruzioni, vedi Creazione di un'autorizzazione DNS.
- Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per istruzioni, vedi Aggiunta del record CNAME alla configurazione DNS.
- Completa i passaggi descritti in questa sezione.
Puoi creare sia regional sia global certificati gestiti da Google.
Per informazioni su come creare un certificato global gestito da Google, consulta
Crea un certificato gestito da Google con autorizzazione DNS.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.
In Località, scegli A livello di regione.
Dall'elenco Regione, seleziona una regione.
In Tipo di certificato, scegli Crea certificato gestito da Google.
In Tipo di autorità di certificazione, scegli Pubblica.
Specifica i nomi di dominio del certificato. Inserisci un valore delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio
myorg.example.com.In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se dominio a cui è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:
- Fai clic su Crea autorizzazione DNS mancante per visualizzare Finestra di dialogo Crea autorizzazione DNS.
- Nel campo Nome autorizzazione DNS, specifica l'autorizzazione DNS .
- Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS sia associato al nome di dominio.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia presente nell'elenco dei certificati.
gcloud
Esegui questo comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco del certificato.DOMAIN_NAME: il dominio di destinazione del certificato. Il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com.AUTHORIZATION_NAME: il nome dell'autorizzazione DNS creato per il certificato.LOCATION: la posizione in cui crei Certificato gestito da Google.
Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza la . Un dominio con caratteri jolly nome certificato copre tutti i sottodomini di primo livello di un determinato dominio.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco del certificato.DOMAIN_NAME: il dominio di destinazione del certificato. Il prefisso dell'asterisco (*.) rappresenta un certificato con caratteri jolly. La il nome di dominio deve essere un nome di dominio completo, comemyorg.example.com.AUTHORIZATION_NAME: il nome dell'autorizzazione DNS creato per il certificato.LOCATION: la posizione in cui crei Certificato gestito da Google.
Carica un certificato autogestito
Per caricare un certificato autogestito, completa i passaggi descritti in questa sezione. Tu può caricare certificati TLS (SSL) X.509 globali e regionali dei seguenti tipi:
- Certificati generati da autorità di certificazione (CA) di terze parti di tua scelta
- Certificati generati da autorità di certificazione sotto il tuo controllo
- Certificati autofirmati, come descritto in Crea una chiave privata e un certificato
Devi caricare i seguenti file con codifica PEM:
- Il file del certificato (
.crt) - Il file della chiave privata corrispondente (
.key)
Consulta Panoramica del deployment per i passaggi necessari per iniziare a gestire il certificato sul bilanciatore del carico.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Fai clic su Aggiungi certificato.
Inserisci un Nome per il certificato.
Questo nome deve essere univoco per il progetto.
(Facoltativo) Inserisci la descrizione del certificato. La la descrizione ti consente di identificare un certificato specifico in un secondo momento.
In Località, scegli una delle seguenti opzioni:
- Globale: seleziona Globale in modo che il certificato possa essere utilizzato
a livello globale. Se scegli Globale, dal menu a discesa Ambito
seleziona una delle seguenti opzioni:
- Predefinito: i certificati con ambito predefinito vengono forniti da principali dei data center Google.
- Cache perimetrale: i certificati con questo ambito sono speciali e sono forniti da data center di Google non principali.
- Tutte le regioni: i certificati vengono forniti da tutte le regioni.
- A livello di regione: seleziona A livello di regione in modo che il certificato possa essere utilizzato in una particolare regione. Se scegli Regionale, seleziona una regione dall'elenco Regione.
- Globale: seleziona Globale in modo che il certificato possa essere utilizzato
a livello globale. Se scegli Globale, dal menu a discesa Ambito
seleziona una delle seguenti opzioni:
In Tipo di certificato, scegli Crea certificato autogestito.
Per il campo Certificato, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona il file in formato PEM. del certificato.
- Copia e incolla i contenuti di un certificato in formato PEM. La
i contenuti devono iniziare con
-----BEGIN CERTIFICATE-----e terminare con-----END CERTIFICATE-----.
Per il campo Certificato di chiave privata, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona la tua chiave privata. Il tuo la chiave privata deve essere in formato PEM e non deve essere protetta con una passphrase.
- Copia e incolla i contenuti di una chiave privata in formato PEM. La
le chiavi private devono iniziare con
-----BEGIN PRIVATE KEY-----e terminano con-----END PRIVATE KEY-----.
Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona add_box Aggiungi etichetta e specifica
keyevalueper l'etichetta.Fai clic su Crea. Verifica che il nuovo certificato sia visualizzato nell'elenco di certificati.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
[--location="REGION"]
Sostituisci quanto segue:
CERTIFICATE_NAME: un nome univoco che lo descrive certificato.CERTIFICATE_FILE: il percorso e il nome file di.crtdel certificato.PRIVATE_KEY_FILE: il percorso e il nome file di.keychiave privata.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.
Terraform
Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.
API
Carica il certificato inviando una richiesta POST all'indirizzo
certificates.create come segue:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
self_managed: {
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del target progetto Google Cloud.CERTIFICATE_NAME: un nome univoco che lo descrive certificato.PEM_CERTIFICATE: il certificato PEM.PEM_KEY: il PEM chiave.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.
Aggiorna un certificato
Per aggiornare un certificato esistente senza modificarne le assegnazioni in nomi di dominio all'interno della mappa di certificati corrispondente, completa i passaggi . Le SAN nel nuovo certificato devono corrispondere esattamente alle SAN del un certificato esistente.
Per i certificati gestiti da Google, puoi aggiornare solo description e
labels campi. Per aggiornare un certificato autogestito, devi caricare il
seguenti file con codifica PEM:
- Il file del certificato (
.crt) - Il file della chiave privata corrispondente (
.key)
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \
--certificate-file="CERTIFICATE_FILE" \
--private-key-file="PRIVATE_KEY_FILE" \
--description="DESCRIPTION" \
--update-labels="LABELS" \
[--location="REGION"]
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato di destinazione.CERTIFICATE_FILE: il percorso e il nome file di.crtdel certificato.PRIVATE_KEY_FILE: il percorso e il nome file di.keychiave privata.DESCRIPTION: un valore di descrizione univoco certificato.LABELS: un elenco separato da virgole di etichette applicate a questo certificato.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.
API
Aggiorna il certificato inviando una richiesta PATCH all'indirizzo
certificates.patch come segue:
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
self_managed: { // Self-managed certificates only
pem_certificate: "PEM_CERTIFICATE",
pem_private_key: "PEM_KEY",
}
"description": "DESCRIPTION",
"labels": {
"LABEL_KEY": "LABEL_VALUE",
}
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del target progetto Google Cloud.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.CERTIFICATE_NAME: il nome del certificato di destinazione.PEM_CERTIFICATE: il certificato PEM.PEM_KEY: il PEM chiave.DESCRIPTION: una descrizione significativa per certificato.LABEL_KEY: una chiave di etichetta applicata al certificato.LABEL_VALUE: un valore di etichetta applicato a questo certificato.
Elenco certificati
Per elencare i certificati gestiti da Gestore certificati, completa la passaggi in questa sezione. Ad esempio, puoi eseguire le seguenti query:
- Elenca i certificati in base ai nomi di dominio assegnati
- Elenca i certificati scaduti
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Se nel tuo progetto sono presenti più di 10.000 certificati che vengono gestiti da Gestore certificati, la pagina Gestore certificati nella console Google Cloud non possono elencarli. In questi casi, utilizza gcloud CLI per elencare i certificati.
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati. Questa scheda un elenco di tutti i certificati gestiti Gestore certificati nel progetto selezionato.
La scheda Certificati classici elenca i certificati nel progetto selezionato il cui provisioning è stato eseguito direttamente tramite Cloud Load Balancing. Questi I certificati non sono gestiti da Gestore certificati. Per istruzioni sulla gestione di questi certificati, consulta una delle seguenti articoli nella documentazione di Cloud Load Balancing:
gcloud
gcloud certificate-manager certificates list \
[--location="REGION"] \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Sostituisci quanto segue:
REGION: la regione Google Cloud di destinazione; all'elenco certificati da tutte le regioni, utilizza-come valore. Il valore predefinito èglobal. Questa impostazione è facoltativa.FILTER: un'espressione che vincola la condizione restituita a valori specifici. Ad esempio, puoi filtrare i risultati per i seguenti criteri:- Data/ora di scadenza:
--filter='expire_time >= "2021-09-01T00:00:00Z"' - Nomi DNS SAN:
--filter='san_dnsnames:"example.com"' - Stato del certificato:
--filter='managed.state=FAILED' - Tipo di certificato:
--filter='managed:*' - Etichette e data e ora di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Data/ora di scadenza:
Per altri esempi di filtro che puoi utilizzare con In Gestione certificati, consulta Ordinamento e filtro dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.LIMIT: il numero massimo di risultati da restituire.SORT_BY: un elenco dinamecampi delimitato da virgole in base a in cui vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi~come prefisso al campo.
API
Elenca i certificati inviando una richiesta LIST a certificates.list
come segue:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
REGION: la regione Google Cloud di destinazione; all'elenco certificati da tutte le regioni, utilizza-come valore.PROJECT_ID: l'ID del progetto Google Cloud di destinazione.FILTER: un'espressione che vincola la condizione restituita a valori specifici.PAGE_SIZE: il numero di risultati da restituire per pagina.SORT_BY: un elenco di nomi di campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente; della in ordine decrescente, fai precedere il campo con~.
Visualizzare lo stato di un certificato
Per visualizzare lo stato di un certificato esistente, incluso lo stato di provisioning e altre informazioni dettagliate, completa i passaggi in questa sezione.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Se nel tuo progetto sono presenti più di 10.000 certificati che vengono gestiti da Gestore certificati, la pagina Gestore certificati nella console Google Cloud non possono elencarli. In questi casi, utilizza il parametro gcloud CLI per elencare i certificati. Tuttavia, Se hai un link diretto alla pagina Dettagli del certificato, Gestore certificati nella console Google Cloud può visualizzare i dettagli.
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Nella scheda Certificati, vai al certificato di destinazione, quindi fai clic sul nome del certificato.
La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.
(Facoltativo) Per visualizzare la risposta REST dall'API Certificate Manager per questo certificato, fai clic su REST equivalente.
(Facoltativo) Se al certificato è associata un'emissione configurazione che vuoi visualizzare, nel campo Configurazione emissione fai clic sul nome della configurazione di emissione dei certificati associata.
La console Google Cloud mostra la configurazione completa del certificato configurazione dell'emissione.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \
[--location="REGION"]
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato di destinazione.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.
API
Visualizza lo stato del certificato inviando una richiesta GET all'indirizzo
certificates.get come segue:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del target progetto Google Cloud.REGION: la regione Google Cloud di destinazione.CERTIFICATE_NAME: il nome del certificato di destinazione.
Elimina un certificato
Per eliminare un certificato da Gestore certificati, completa la passaggi in questa sezione. Prima di poter eliminare un certificato, devi rimuoverlo da tutte le voci della mappa di certificati che vi fanno riferimento; altrimenti la cancellazione non riesce.
Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nella progetto Google Cloud di destinazione.
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Certificati, seleziona la casella di controllo del certificato che da eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Sostituisci quanto segue:
CERTIFICATE_NAME: il nome del certificato di destinazione.REGION: il target Google Cloud regione. Il valore predefinito èglobal. Questa impostazione è facoltativa.
API
Elimina il certificato inviando una richiesta DELETE a certificates.delete
come segue:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud di destinazione.REGION: la regione Google Cloud di destinazione.CERTIFICATE_NAME: il nome del certificato di destinazione.
Passaggi successivi
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci autorizzazioni DNS
- Gestire la configurazione dell'emissione dei certificati