Gestisci certificati

Questa pagina descrive come utilizzare Gestore certificati per creare e gestire i certificati SSL (Transport Layer Security). Gestore certificati supporta seguenti tipi di certificati TLS (SSL):

  • I certificati gestiti da Google sono certificati che Google Cloud ottiene e gestisce per te. Con Certificate Manager puoi creare i seguenti tipi di certificati gestiti da Google:
    • Certificati globali
      • Certificati gestiti da Google con autorizzazione del bilanciatore del carico
      • Certificati gestiti da Google con autorizzazione DNS
      • Certificati gestiti da Google con Certificate Authority Service (CA Service)
    • Certificati a livello di regione
      • Certificati regionali gestiti da Google
      • Certificati gestiti da Google a livello di regione con il servizio CA
  • I certificati con gestione indipendente sono certificati che ottieni, esegui il provisioning e rinnova autonomamente.

Per ulteriori informazioni sui certificati, vedi Come funziona Gestore certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud CLI utilizzati in questa pagina, consulta il riferimento all'interfaccia a riga di comando di Certificate Manager.

Crea un certificato gestito da Google con autorizzazione del bilanciatore del carico

Per creare un certificato gestito da Google con autorizzazione per il bilanciatore del carico, completa i passaggi descritti in questa sezione. Puoi creare solo certificati gestiti da Google con autorizzazione del bilanciatore del carico nella località global.

Per specificare più nomi di dominio per il certificato, fornisci un elenco di nomi di dominio di destinazione per il certificato separati da virgole.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore dei certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la Descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. Per Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i Nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  11. In Tipo di autorizzazione, scegli Autorizzazione bilanciatore del carico.

  12. Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAMES: un elenco separato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Terraform

Per creare un certificato gestito da Google, puoi utilizzare un google_certificate_manager_certificate risorsa con un blocco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Per una panoramica della procedura di implementazione dei certificati, consulta Panoramica dell'implementazione.

Crea un certificato gestito da Google con autorizzazione DNS

Per creare un certificato globale gestito da Google con autorizzazione DNS, segui questi passaggi:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per istruzioni, vedi Creazione di un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per istruzioni, vedi Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un regional certificato gestito da Google, consulta Creare un certificato gestito da Google a livello di regione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la Descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. Per Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  11. In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se il nome di dominio ha un'autorizzazione DNS associata, verrà rilevato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea DNS. Finestra di dialogo di autorizzazione.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS sia associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempio myorg.example.com.
  • AUTHORIZATION_NAMES: un elenco di delimitato da virgole di nomi delle autorizzazioni DNS che hai creato per questo certificato.

Per creare un certificato gestito da Google con un nome di dominio jolly, utilizza il seguente comando. Un certificato per un nome di dominio jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descriva questo documento.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso asterisco punto (*.) indica un certificato jolly. La il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.

Terraform

Per creare un certificato gestito da Google con autorizzazione DNS, puoi utilizzare una risorsa google_certificate_manager_certificate con l'attributo dns_authorizations nel blocco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso dell'asterisco (*.) rappresenta un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome del DNS autorizzazioni create per questo certificato.

Per gestire in modo indipendente i certificati tra più progetti, puoi utilizzare autorizzazione DNS per progetto. Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, consulta Creare un'autorizzazione DNS.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Creare un certificato gestito da Google emesso dal servizio CA

Per creare un certificato gestito da Google emesso da un'istanza di CA Service sotto il tuo controllo, completa i passaggi descritti in questa sezione. Puoi creare i certificati gestiti da Google regional e global. Per informazioni su come creare un certificato gestito da Google a livello regionale emesso da CA Service, consulta Creare un certificato gestito da Google a livello regionale emesso da CA Service

Per completare questa attività, devi disporre dei seguenti ruoli nel progetto Google Cloud di destinazione:

Per ulteriori informazioni sui comandi gcloud CLI utilizzati in questa sezione, consulta il riferimento all'interfaccia a riga di comando di Certificate Manager.

Configurare l'integrazione di CA Service con Certificate Manager

Se non lo hai già fatto, devi configurare Gestore certificati per l'integrazione con CA Service come descritto in questa sezione. Se nel pool di CA di destinazione è attivo un criterio di emissione dei certificati, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:

  • Il criterio di emissione dei certificati ha bloccato il certificato richiesto. In questo caso, non ti viene addebitato alcun importo perché il certificato non è stato emesso.
  • I criteri hanno applicato modifiche al certificato che non sono supportate da Gestore certificati. In questo caso, la fatturazione avviene comunque il certificato sia stato emesso, anche se non è completamente compatibile Gestore certificati.

Per eventuali problemi relativi alle limitazioni previste dalle norme di emissione, consulta Risoluzione dei problemi .

Per configurare l'integrazione di CA Service con Gestore certificati, segui questi passaggi:

  1. Concedi a Certificate Manager la possibilità di richiedere certificati dal pool di CA di destinazione:

    1. Utilizza il comando seguente per creare un gestore certificati l'account di servizio nel progetto Google Cloud di destinazione:

      gcloud beta services identity create --service=certificatemanager.googleapis.com \
  --project=PROJECT_ID

      Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

      Il comando restituisce il nome dell'account di servizio creato. Ad esempio:

      service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    2. Concedi all'account di servizio Certificate Manager il ruolo Richiedente certificato nel pool CA di destinazione come segue:

      gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

      Sostituisci quanto segue:

      • CA_POOL: l'ID del pool di CA di destinazione
      • REGION: la regione Google Cloud di destinazione
      • SERVICE_ACCOUNT: il nome completo dell'account di servizio creato nel passaggio 1

  2. Crea una risorsa di configurazione dell'emissione di certificati per il tuo pool di CA:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Configurazioni di emissione, fai clic su Crea.

  3. Nel campo Nome, inserisci un nome univoco per la configurazione di emissione dei certificati.

  4. Per Località, seleziona Globale.

  5. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione di emissione.

  6. Nel campo Lifetime (Durata), specifica la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).

  7. In Percentuale della finestra di rotazione, specifica la percentuale della durata del certificato al momento dell'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale della durata e della finestra di rotazione.

  8. Nell'elenco Algoritmo chiave, seleziona l'algoritmo della chiave da utilizzare per generare la chiave privata.

  9. Dall'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa configurazione di emissione dei certificati.

  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica un key e un value per l'etichetta.

  11. Fai clic su Crea.

gcloud 

 gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME: un nome univoco che identifica risorsa di configurazione dell'emissione dei certificati.
  • CA_POOL: il percorso completo della risorsa e il nome della CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.
  • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato della durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
  • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato quando viene attivato il suo rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale della durata e della finestra di rotazione. Questa impostazione è facoltativa.
  • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.

Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione dell'emissione dei certificati.

Creare un certificato gestito da Google emesso dall'istanza di CA Service

Crea un certificato gestito da Google emesso dal servizio CA in questo modo:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la Descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. Per Località, scegli Globale.

  7. In Ambito, scegli Predefinito.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i Nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.

    Per creare una configurazione di emissione, fai clic su Aggiungi configurazione di emissione dei certificati, specifica i seguenti dettagli e fai clic su Crea.

    • Nome: un nome univoco per la configurazione dell'emissione del certificato.
    • Descrizione: una descrizione della configurazione di emissione.
    • Durata: la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
    • Percentuale della finestra di rotazione: la percentuale della durata del certificato in cui viene attivato il rinnovo. Per trovare l'intervallo di valori validi, consulta Lifetime e Percentuale della finestra di rotazione.
    • Algoritmo chiave: l'algoritmo della chiave da utilizzare durante la generazione della chiave privata.
    • Pool di CA: il nome del pool di CA da assegnare a questa configurazione di emissione dei certificati.
    • Etichetta: etichette da associare alla configurazione di emissione dei certificati.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAMES: un elenco separato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione per la concessione dei certificati che fa riferimento al pool di CA di destinazione.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che lo descrive certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione per la concessione dei certificati che fa riferimento al pool di CA di destinazione.

Per una panoramica della procedura di implementazione dei certificati, consulta Panoramica dell'implementazione.

Crea un certificato a livello di regione gestito da Google emesso da CA Service

Per creare un certificato regionale gestito da Google emesso da un'istanza di servizio CA sotto il tuo controllo, completa i passaggi descritti in questa sezione.

Configurare l'integrazione di CA Service con Certificate Manager

Configura Gestore certificati per l'integrazione con il servizio CA come segue:

  1. Crea un account di servizio Certificate Manager nel progetto Google Cloud di destinazione:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del target progetto Google Cloud.

    Il comando restituisce il nome dell'identità di servizio creata, come mostrato nell'esempio seguente:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  2. Concedi all'account di servizio Gestore certificati il certificato Ruolo del richiedente all'interno del pool di CA di destinazione, come segue:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione.
    • LOCATION: la località di Google Cloud di destinazione. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio che hai creato nel passaggio 1.

  3. Crea una risorsa di configurazione dell'emissione dei certificati per il pool di CA:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Nella scheda Configurazioni di emissione, fai clic su Crea.

  3. Nel campo Nome, inserisci un nome univoco per la configurazione di emissione dei certificati.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione di emissione.

  5. In Località, seleziona Regionale.

  6. Nell'elenco Regione, seleziona la regione.

  7. Nel campo Lifetime, specifica la durata in giorni del certificato emesso. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).

  8. Nella sezione Percentuale finestra di rotazione, specifica la percentuale della durata del certificato all'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale della durata e della finestra di rotazione.

  9. Nell'elenco Algoritmo chiave, seleziona l'algoritmo della chiave da utilizzare per generare la chiave privata.

  10. Dall'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa configurazione di emissione dei certificati.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica un key e un value per l'etichetta.

  12. Fai clic su Crea.

gcloud 

gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME: il nome univoco del certificato risorsa di configurazione dell'emissione.
  • CA_POOL: il percorso completo della risorsa e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.
  • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa posizione del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.
  • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
  • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato all'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta Lifetime e Percentuale della finestra di rotazione.
  • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.
  • DESCRIPTION: una descrizione della risorsa di configurazione dell'emissione dei certificati. Questa impostazione è facoltativa.

Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione dell'emissione dei certificati.

Crea un certificato a livello di regione gestito da Google emesso dal servizio CA

Crea un certificato gestito da Google a livello di regione emesso dal tuo servizio CA utilizzando la risorsa di configurazione dell'emissione del certificato creata nel passaggio precedente:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Nell'elenco Regione, seleziona una regione.

  8. In Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i Nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome nome di dominio, ad esempio myorg.example.com.

  11. In Configurazione di emissione dei certificati, seleziona il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.

    Per creare una configurazione di emissione, fai clic su Aggiungi configurazione di emissione dei certificati, specifica i seguenti dettagli e fai clic su Crea.

    • Nome: un nome univoco per la configurazione dell'emissione del certificato.
    • Descrizione: una descrizione della configurazione di emissione.
    • Lifetime: la durata in giorni del certificato emesso. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
    • Percentuale finestra di rotazione: la percentuale della durata del certificato all'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta Lifetime e Percentuale della finestra di rotazione.
    • Algoritmo di chiave: l'algoritmo di chiave da utilizzare per generare la chiave privata.
    • Pool di CA: il nome del pool di CA da assegnare a questa configurazione di emissione dei certificati.
    • Etichetta: etichette da associare alla configurazione di emissione dei certificati.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco del target delimitato da virgole domini per questo certificato. Ogni nome di dominio deve essere un nome completo nome di dominio, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione per la concessione dei certificati che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località di destinazione di Google Cloud. Devi specificare la stessa posizione del pool di CA, della risorsa di configurazione dell'emissione dei certificati e del certificato gestito.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, come example.com e www.example.com.
  • ISSUANCE_CONFIG_NAME: il nome del certificato risorsa di configurazione dell'emissione che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località di destinazione di Google Cloud. Tu deve specificare la stessa località del pool di CA, l'emissione del certificato la risorsa di configurazione e il certificato gestito.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google a livello di regione

Per creare un certificato gestito da Google con autorizzazione DNS, segui questi passaggi:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per le istruzioni, consulta Creare un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per istruzioni, consulta Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un global certificato gestito da Google, consulta Creare un certificato gestito da Google con autorizzazione DNS.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Nell'elenco Regione, seleziona una regione.

  8. In Tipo di certificato, scegli Crea un certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco dei domini di destinazione separati da virgole. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  11. In Tipo di autorizzazione, scegli Autorizzazione DNS. Se il nome di dominio ha un'autorizzazione DNS associata, verrà rilevato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea autorizzazione DNS.
    2. Nel campo Nome autorizzazione DNS, specifica l'autorizzazione DNS nome.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS venga associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sull'icona Aggiungi etichetta e specifica key e value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.
  • LOCATION: la posizione in cui crei Certificato gestito da Google.

Per creare un certificato gestito da Google con un nome di dominio jolly, utilizza il seguente comando. Un certificato con nome di dominio con caratteri jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il prefisso asterisco punto (*.) indica un certificato jolly. La il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS creato per il certificato.
  • LOCATION: la posizione in cui crei Certificato gestito da Google.

Carica un certificato autogestito

Per caricare un certificato autogestito, completa i passaggi descritti in questa sezione. Tu può caricare certificati TLS (SSL) X.509 globali e regionali dei seguenti tipi:

  • Certificati generati da autorità di certificazione (CA) di terze parti a tua scelta
  • Certificati generati da autorità di certificazione sotto il tuo controllo
  • Certificati autofirmati, come descritto in Creare una chiave privata e un certificato

Devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file della chiave privata corrispondente (.key)

Consulta Panoramica del deployment per i passaggi necessari per iniziare a gestire il certificato sul bilanciatore del carico.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la Descrizione del certificato. La la descrizione ti consente di identificare un certificato specifico in un secondo momento.

  6. Per Località, scegli una delle seguenti opzioni:

    • Globale: seleziona Globale in modo che il certificato possa essere utilizzato a livello globale. Se scegli Globale, dal menu a discesa Ambito seleziona una delle seguenti opzioni:
      • Predefinito: i certificati con ambito predefinito vengono forniti da principali dei data center Google.
      • Cache edge: i certificati con questo ambito sono certificati speciali e vengono forniti da data center Google non principali.
      • Tutte le regioni: i certificati vengono forniti da tutte le regioni.
    • A livello di regione: seleziona A livello di regione in modo che il certificato possa essere utilizzato in una particolare regione. Se scegli Regionale, seleziona una regione dall'elenco Regione.

  7. In Tipo di certificato, scegli Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file in formato PEM. del certificato.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  9. Per il campo Certificato della chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la tua chiave privata. La chiave privata deve essere in formato PEM e non protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  10. Specifica un'etichetta da associare al certificato. Puoi aggiungere più di un'etichetta, se necessario. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  11. Fai clic su Crea. Verifica che il nuovo certificato sia visualizzato nell'elenco di certificati.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descriva questo documento.
  • CERTIFICATE_FILE: il percorso e il nome file di .crt del certificato.
  • PRIVATE_KEY_FILE: il percorso e il nome del file della chiave privata .key.
  • REGION: il target Google Cloud regione. Il valore predefinito è global. Questa impostazione è facoltativa.

Terraform

Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato inviando una richiesta POST all'indirizzo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descriva questo documento.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: la chiave PEM.
  • REGION: il target Google Cloud regione. Il valore predefinito è global. Questa impostazione è facoltativa.

Aggiornare un certificato

Per aggiornare un certificato esistente senza modificarne le assegnazioni in nomi di dominio all'interno della mappa di certificati corrispondente, completa i passaggi . I SAN nel nuovo certificato devono corrispondere esattamente a quelli nel certificato esistente.

Per i certificati gestiti da Google, puoi aggiornare solo i campi description e labels. Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file della chiave privata (.key) corrispondente

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato .crt.
  • PRIVATE_KEY_FILE: il percorso e il nome file di .key chiave privata.
  • DESCRIPTION: un valore di descrizione univoco per questo documento.
  • LABELS: un elenco separato da virgole di etichette applicate a questo certificato.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Aggiorna il certificato inviando una richiesta PATCH all'indirizzo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del target progetto Google Cloud.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: il PEM chiave.
  • DESCRIPTION: una descrizione significativa per certificato.
  • LABEL_KEY: una chiave di etichetta applicata al certificato.
  • LABEL_VALUE: un valore dell'etichetta applicato a questo certificato.

Elenco dei certificati

Per elencare i certificati gestiti da Gestore certificati, completa i passaggi indicati in questa sezione. Ad esempio, puoi eseguire le seguenti query:

  • Elenca i certificati in base ai nomi di dominio assegnati
  • Elenca i certificati scaduti

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Console

Se nel tuo progetto sono presenti più di 10.000 certificati gestiti da Certificate Manager, la pagina Certificate Manager nella console Google Cloud non può elencarli. In questi casi, utilizza gcloud CLI per elencare i certificati.

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati. Questa scheda elenca tutti i certificati gestiti da Gestore certificati nel progetto selezionato.

La scheda Certificati classici elenca i certificati nel progetto selezionato il cui provisioning è stato eseguito direttamente tramite Cloud Load Balancing. Questi certificati non sono gestiti da Gestore certificati. Per istruzioni sulla gestione di questi certificati, consulta una delle seguenti articoli nella documentazione di Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione; all'elenco certificati da tutte le regioni, utilizza - come valore. Il valore predefinito è global. Questa impostazione è facoltativa.
  • FILTER: un'espressione che limita i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
    • Data/ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.
  • LIMIT: il numero massimo di risultati da restituire.
  • SORT_BY: un elenco di name campi delimitato da virgole in base a in cui vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo il prefisso ~.

API

Elenca i certificati effettuando una richiesta LIST a certificates.list come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza - come valore.
  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • FILTER: un'espressione che vincola la condizione restituita a valori specifici.
  • PAGE_SIZE: il numero di risultati da restituire per pagina.
  • SORT_BY: un elenco di nomi di campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo il prefisso ~.

Visualizzare lo stato di un certificato

Per visualizzare lo stato di un certificato esistente, incluso lo stato del provisioning e altre informazioni dettagliate, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

Se nel tuo progetto sono presenti più di 10.000 certificati che vengono gestiti da Gestore certificati, la pagina Gestore certificati nella console Google Cloud non possono elencarli. In questi casi, utilizza il comando gcloud CLI per elencare i certificati. Tuttavia, se hai un link diretto alla pagina Dettagli del certificato, la pagina Gestione certificati nella console Google Cloud può visualizzare questi dettagli.

  1. Nella console Google Cloud, vai alla pagina Gestore certificati.

    Vai a Gestore dei certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Nella scheda Certificati, vai al certificato di destinazione e fai clic sul nome del certificato.

La pagina Dettagli del certificato mostra informazioni dettagliate sul certificato selezionato.

  1. (Facoltativo) Per visualizzare la risposta REST dell'API Certificate Manager per questo certificato, fai clic su REST equivalente.

  2. (Facoltativo) Se al certificato è associata un'emissione configurazione che vuoi visualizzare, nel campo Configurazione emissione fai clic sul nome della configurazione di emissione dei certificati associata.

    La console Google Cloud mostra la configurazione completa del certificato configurazione dell'emissione.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Visualizza lo stato del certificato inviando una richiesta GET al metodo certificates.get come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del target progetto Google Cloud.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Elimina un certificato

Per eliminare un certificato da Gestore certificati, completa la passaggi in questa sezione. Per poter eliminare un certificato, devi prima rimuoverlo da tutte le voci della mappa di certificati che vi fanno riferimento; altrimenti la cancellazione non riesce.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nella progetto Google Cloud di destinazione.

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Elimina il certificato inviando una richiesta DELETE a certificates.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Passaggi successivi