Gestisci i certificati

In questa pagina viene descritto come utilizzare Gestore certificati per creare e gestire i certificati SSL (Transport Layer Security). Gestore certificati supporta i seguenti tipi di certificati TLS (SSL):

  • I certificati gestiti da Google sono certificati che Google Cloud ottiene e gestisce per te. Con Gestore certificati puoi creare i seguenti tipi di certificati gestiti da Google:
    • Certificati globali
      • Certificati gestiti da Google con autorizzazione del bilanciatore del carico
      • Certificati gestiti da Google con autorizzazione DNS
      • Certificati gestiti da Google con Certificate Authority Service (CA Service)
    • Certificati regionali
      • Certificati gestiti a livello di regione da Google
      • Certificati gestiti a livello di regione da Google con CA Service
  • I certificati autogestiti sono certificati che ottieni, esegui il provisioning e rinnovi autonomamente.

Per maggiori informazioni sui certificati, consulta Funzionamento di Gestione certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi dell'interfaccia a riga della gcloud CLI utilizzati in questa pagina, consulta il riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea un certificato gestito da Google con l'autorizzazione del bilanciatore del carico

Per creare un certificato gestito da Google con autorizzazione del bilanciatore del carico, completa i passaggi descritti in questa sezione. Puoi creare certificati gestiti da Google con autorizzazione del bilanciatore del carico solo nella località global.

Per specificare più nomi di dominio per il certificato, fornisci un elenco delimitato da virgole di nomi di dominio di destinazione per il certificato.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. In corrispondenza di Località, scegli Globale.

  7. Per Ambito, scegli Predefinito.

  8. Per Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Tipo di autorizzazione, scegli Autorizzazione bilanciatore del carico.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Terraform

Per creare un certificato gestito da Google, puoi utilizzare una risorsa google_certificate_manager_certificate con un blocco managed.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google con autorizzazione DNS

Per creare un certificato globale gestito da Google con autorizzazione DNS:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per le istruzioni, consulta la sezione Creazione di un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per le istruzioni, consulta Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un certificato regional gestito da Google, vedi Creare un certificato gestito da Google a livello di regione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. In corrispondenza di Località, scegli Globale.

  7. Per Ambito, scegli Predefinito.

  8. Per Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se al nome di dominio è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea autorizzazione DNS.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS venga associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • AUTHORIZATION_NAMES: un elenco delimitato da virgole dei nomi delle autorizzazioni DNS che hai creato per questo certificato.

Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza il seguente comando. Un certificato per un nome di dominio con caratteri jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso con il punto dell'asterisco (*.) indica un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.

Terraform

Per creare un certificato gestito da Google con autorizzazione DNS, puoi utilizzare una risorsa google_certificate_manager_certificate con l'attributo dns_authorizations nel blocco managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il prefisso con un asterisco (*.) indica un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome delle autorizzazioni DNS create per questo certificato.

Per gestire i certificati in modo indipendente in più progetti, puoi utilizzare l'autorizzazione DNS per progetto (anteprima). Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, consulta Creazione di un'autorizzazione DNS.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google emesso da CA Service

Per creare un certificato gestito da Google emesso da un'istanza del servizio CA sotto il tuo controllo, completa i passaggi descritti in questa sezione. Puoi creare certificati regional e global gestiti da Google. Per informazioni su come creare un certificato gestito da Google a livello di regione emesso da CA Service, consulta Creare un certificato gestito da Google a livello di regione emesso da CA Service

Per completare questa attività, devi disporre dei seguenti ruoli nel progetto Google Cloud di destinazione:

Per ulteriori informazioni sui comandi dell'interfaccia a riga della gcloud CLI utilizzati in questa sezione, consulta il riferimento per l'interfaccia a riga di comando di Gestore certificati.

Configurare l'integrazione di CA Service con Gestore certificati

Se non lo hai già fatto, devi configurare Gestore certificati per l'integrazione con CA Service come descritto in questa sezione. Se un criterio di emissione dei certificati è attivo sul pool di CA di destinazione, il provisioning dei certificati potrebbe non riuscire per uno dei seguenti motivi:

  • Il criterio di emissione del certificato ha bloccato il certificato richiesto. In questo caso, non ti verrà addebitato alcun costo perché il certificato non è stato emesso.
  • Il criterio ha applicato al certificato modifiche che non sono supportate da Gestore certificati. In questo caso, i costi ti verranno comunque addebitati perché il certificato è stato emesso, anche se non è completamente compatibile con Gestore certificati.

Per eventuali problemi relativi alle limitazioni relative alle norme di emissione, consulta la pagina Risoluzione dei problemi.

Per configurare l'integrazione del servizio CA con Certificate Manager:

  • Concedi al gestore certificati la possibilità di richiedere certificati dal pool di CA di destinazione:
    1. Utilizza il comando seguente per creare un account di servizio Certificate Manager nel progetto Google Cloud di destinazione:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

    Il comando restituisce il nome dell'account di servizio creato. Ad esempio:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Concedi all'account di servizio Gestore certificati il ruolo Richiedente certificato all'interno del pool di CA di destinazione, come indicato di seguito:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione
    • REGION: la regione Google Cloud di destinazione
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio creato nel passaggio 1

  1. Crea una risorsa di configurazione dell'emissione del certificato per il pool di CA:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: nome univoco che identifica la risorsa di configurazione dell'emissione del certificato.
    • CA_POOL: il percorso completo e il nome del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.
    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo avvenga almeno sette giorni dopo l'emissione del certificato e almeno sette giorni prima della scadenza. Questa impostazione è facoltativa.
    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.

    Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione di emissione dei certificati.

Crea un certificato gestito da Google emesso dall'istanza del servizio CA

Crea un certificato gestito da Google emesso dall'istanza del servizio CA come segue:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. In corrispondenza di Località, scegli Globale.

  7. Per Ambito, scegli Predefinito.

  8. Per Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Configurazione di emissione di certificati, seleziona il nome della risorsa di configurazione di emissione dei certificati che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione di emissione del certificato che fa riferimento al pool di CA di destinazione.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • DOMAIN_NAME: il dominio di destinazione per questo certificato. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione di emissione del certificato che fa riferimento al pool di CA di destinazione.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google a livello di regione emesso da CA Service

Per creare un certificato a livello di regione gestito da Google emesso da un'istanza di CA Service sotto il tuo controllo, completa i passaggi descritti in questa sezione.

Configurare l'integrazione di CA Service con Gestore certificati

Configura Gestore certificati per l'integrazione con CA Service nel seguente modo:

  1. Crea un account di servizio Certificate Manager nel progetto Google Cloud di destinazione:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Sostituisci PROJECT_ID con l'ID del progetto Google Cloud di destinazione.

Il comando restituisce il nome dell'identità di servizio creata, come mostrato nell'esempio seguente:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Concedi all'account di servizio Gestore certificati il ruolo Richiedente del certificato all'interno del pool di CA di destinazione come segue:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Sostituisci quanto segue:

    • CA_POOL: l'ID del pool di CA di destinazione.
    • LOCATION: la località Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione del certificato e del certificato gestito.
    • SERVICE_ACCOUNT: il nome completo dell'account di servizio creato nel passaggio 1.

  2. Crea una risorsa di configurazione dell'emissione del certificato per il pool di CA:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Sostituisci quanto segue:

    • ISSUANCE_CONFIG_NAME: il nome univoco della risorsa di configurazione di emissione del certificato.
    • CA_POOL: il percorso completo e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.
    • LOCATION: la località Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione del certificato e del certificato gestito.
    • CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D). Questa impostazione è facoltativa.
    • ROTATION_WINDOW_PERCENTAGE: la percentuale della durata del certificato in cui viene attivato un rinnovo. Questa impostazione è facoltativa. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo avvenga almeno sette giorni dopo l'emissione del certificato e almeno sette giorni prima della scadenza.
    • KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048. Questa impostazione è facoltativa.
    • DESCRIPTION: una descrizione della risorsa di configurazione dell'emissione del certificato. Questa impostazione è facoltativa.

Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Gestire la configurazione di emissione dei certificati.

Crea un certificato gestito da Google a livello di regione emesso dal servizio CA

Crea un certificato gestito da Google a livello di regione emesso dal servizio CA utilizzando la risorsa di configurazione di emissione del certificato creata nel passaggio precedente:

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Nell'elenco Regione, seleziona una regione.

  8. Per Tipo di certificato, scegli Crea certificato gestito da Google.

  9. In Tipo di autorità di certificazione, scegli Privato.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Configurazione di emissione di certificati, seleziona il nome della risorsa di configurazione di emissione dei certificati che fa riferimento al pool di CA di destinazione.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione per questo certificato. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione di emissione del certificato che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione del certificato e del certificato gestito.

API

Crea il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il nome di dominio deve essere un nome di dominio completo, come example.com, www.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione di emissione del certificato che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località Google Cloud di destinazione. Devi specificare la stessa località del pool di CA, della risorsa di configurazione dell'emissione del certificato e del certificato gestito.

Per una panoramica del processo di deployment dei certificati, consulta Panoramica del deployment.

Crea un certificato gestito da Google a livello di regione

Per creare un certificato gestito da Google con autorizzazione DNS:

  1. Crea le autorizzazioni DNS corrispondenti che fanno riferimento a ciascuno dei nomi di dominio coperti dal certificato. Per le istruzioni, consulta la sezione Creazione di un'autorizzazione DNS.
  2. Configura un record CNAME valido per il sottodominio di convalida nella zona DNS del dominio di destinazione. Per le istruzioni, consulta Aggiunta del record CNAME alla configurazione DNS.
  3. Completa i passaggi descritti in questa sezione.

Puoi creare sia regional sia global certificati gestiti da Google. Per informazioni su come creare un certificato global gestito da Google, vedi Creare un certificato gestito da Google con autorizzazione DNS.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione ti aiuta a identificare un certificato specifico in un secondo momento.

  6. In Località, scegli A livello di regione.

  7. Nell'elenco Regione, seleziona una regione.

  8. Per Tipo di certificato, scegli Crea certificato gestito da Google.

  9. Per Tipo di autorità di certificazione, scegli Pubblica.

  10. Specifica i nomi di dominio del certificato. Inserisci un elenco delimitato da virgole dei domini di destinazione. Inoltre, ogni nome di dominio deve essere un nome di dominio completo, come myorg.example.com.

  11. In Authorization type (Tipo di autorizzazione), scegli DNS Authorization (Autorizzazione DNS). Se al nome di dominio è associata un'autorizzazione DNS, verrà selezionato automaticamente. Se al nome di dominio non è associata un'autorizzazione DNS:

    1. Fai clic su Crea autorizzazione DNS mancante per visualizzare la finestra di dialogo Crea autorizzazione DNS.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
    3. Fai clic su Crea autorizzazione DNS. Verifica che il nome DNS venga associato al nome di dominio.

  12. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  13. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud

Esegui questo comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.
  • LOCATION: la località in cui crei il certificato gestito da Google.

Per creare un certificato gestito da Google con un nome di dominio con caratteri jolly, utilizza il seguente comando. Un certificato per il nome di dominio con caratteri jolly copre tutti i sottodomini di primo livello di un determinato dominio.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco del certificato.
  • DOMAIN_NAME: il dominio di destinazione del certificato. Il prefisso con un asterisco (*.) indica un certificato con caratteri jolly. Il nome di dominio deve essere un nome di dominio completo, come myorg.example.com.
  • AUTHORIZATION_NAME: il nome dell'autorizzazione DNS che hai creato per questo certificato.
  • LOCATION: la località in cui crei il certificato gestito da Google.

Carica un certificato autogestito

Per caricare un certificato autogestito, completa i passaggi descritti in questa sezione. Puoi caricare certificati TLS (SSL) X.509 globali e a livello di regione dei seguenti tipi:

  • Certificati generati da autorità di certificazione (CA) di terze parti di tua scelta
  • Certificati generati dalle autorità di certificazione sotto il tuo controllo
  • Certificati autofirmati, come descritto in Creare una chiave privata e un certificato

Devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file di chiave privata (.key) corrispondente

Per i passaggi necessari per iniziare a gestire il certificato sul bilanciatore del carico, consulta Panoramica del deployment.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Fai clic su Aggiungi certificato.

  4. Inserisci un nome per il certificato.

    Questo nome deve essere univoco per il progetto.

  5. (Facoltativo) Inserisci la descrizione del certificato. La descrizione consente di identificare un certificato specifico in un secondo momento.

  6. Per Posizione, scegli una delle seguenti opzioni:

    • Globale: seleziona Globale in modo che il certificato possa essere utilizzato a livello globale. Se scegli Globale, nel menu a discesa Ambito seleziona una qualsiasi delle seguenti opzioni:
      • Predefinito: i certificati con ambito predefinito vengono gestiti dai data center principali di Google.
      • Cache perimetrale: i certificati con questo ambito sono certificati speciali e vengono pubblicati da data center non principali di Google.
      • Tutte le regioni: i certificati vengono serviti da tutte le regioni.
    • A livello di regione: seleziona Regionale per utilizzare il certificato in una determinata regione. Se scegli Regionale, seleziona una regione dall'elenco Regione.

  7. Per Tipo di certificato, scegli Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file di certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  9. Nel campo Certificato di chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la tua chiave privata. La chiave privata deve avere il formato PEM e non deve essere protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  10. Specifica un'etichetta da associare al certificato. Se necessario, puoi aggiungere più di un'etichetta. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta e specifica un key e un value per l'etichetta.

  11. Fai clic su Crea. Verifica che il nuovo certificato venga visualizzato nell'elenco dei certificati.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • CERTIFICATE_FILE: il percorso e il nome file del file del certificato .crt.
  • PRIVATE_KEY_FILE: percorso e nome file del file della chiave privata .key.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

Terraform

Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato effettuando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_NAME: un nome univoco che descrive questo certificato.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: il PEM principale.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

Aggiorna un certificato

Per aggiornare un certificato esistente senza modificarne le assegnazioni ai nomi di dominio all'interno della mappa di certificati corrispondente, completa i passaggi descritti in questa sezione. Le SAN nel nuovo certificato devono corrispondere esattamente alle SAN nel certificato esistente.

Per i certificati gestiti da Google, puoi aggiornare solo i campi description e labels. Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:

  • Il file del certificato (.crt)
  • Il file di chiave privata (.key) corrispondente

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • CERTIFICATE_FILE: il percorso e il nome file del file del certificato .crt.
  • PRIVATE_KEY_FILE: percorso e nome file del file della chiave privata .key.
  • DESCRIPTION: un valore di descrizione univoco per questo certificato.
  • LABELS: un elenco separato da virgole di etichette applicate a questo certificato.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Aggiorna il certificato effettuando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: il PEM principale.
  • DESCRIPTION: una descrizione significativa per questo certificato.
  • LABEL_KEY: una chiave di etichetta applicata a questo certificato.
  • LABEL_VALUE: un valore di etichetta applicato a questo certificato.

Elenca certificati

Per elencare i certificati gestiti da Gestore certificati, completa i passaggi descritti in questa sezione. Ad esempio, puoi eseguire le seguenti query:

  • Elenca i certificati in base ai nomi di dominio assegnati
  • Elenca i certificati scaduti

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

Se nel progetto hai più di 10.000 certificati gestiti da Gestore certificati, la pagina Gestore di certificati nella console Google Cloud non può elencarli. In questi casi, utilizza invece il comando gcloud CLI per elencare i certificati.

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati. In questa scheda sono elencati tutti i certificati gestiti da Gestore certificati nel progetto selezionato.

Nella scheda Certificati classici sono elencati i certificati nel progetto selezionato di cui è stato eseguito il provisioning direttamente tramite Cloud Load Balancing. Questi certificati non sono gestiti da Gestore certificati. Per istruzioni sulla gestione dei certificati, consulta uno dei seguenti articoli nella documentazione di Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione. Per elencare i certificati da tutte le regioni, utilizza il valore -. Il valore predefinito è global. Questa impostazione è facoltativa.
  • FILTER: un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
    • Data di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Per altri esempi di filtro che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati degli elenchi nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per ogni pagina.
  • LIMIT: il numero massimo di risultati da restituire.
  • SORT_BY: un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo.

API

Elenca i certificati inviando una richiesta LIST al metodo certificates.list, come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • REGION: la regione Google Cloud di destinazione. Per elencare i certificati da tutte le regioni, utilizza il valore -.
  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • FILTER: un'espressione che vincola i risultati restituiti a valori specifici.
  • PAGE_SIZE: il numero di risultati da restituire per ogni pagina.
  • SORT_BY: un elenco delimitato da virgole di nomi di campi in base ai quali sono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo.

Visualizzare lo stato di un certificato

Per visualizzare lo stato di un certificato esistente, incluso lo stato del provisioning e altre informazioni dettagliate, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

Se nel progetto hai più di 10.000 certificati gestiti da Gestore certificati, la pagina Gestore di certificati nella console Google Cloud non può elencarli. In questi casi, utilizza il comando gcloud CLI per elencare i certificati. Tuttavia, se disponi di un link diretto alla pagina Dettagli del certificato, questi dettagli potranno essere visualizzati nella pagina Gestore dei certificati nella console Google Cloud.

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Nella scheda Certificati, vai al certificato di destinazione e fai clic sul nome del certificato.

La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.

  1. (Facoltativo) Per visualizzare la risposta REST dall'API Certificate Manager per questo certificato, fai clic su REST equivalente.

  2. (Facoltativo) Se al certificato è associata una configurazione di emissione del certificato che vuoi visualizzare, nel campo Configurazione di emissione fai clic sul nome della configurazione di emissione del certificato associata.

    Nella console Google Cloud viene visualizzata la configurazione completa della configurazione di emissione dei certificati.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Visualizza lo stato del certificato effettuando una richiesta GET al metodo certificates.get come segue:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Elimina un certificato

Per eliminare un certificato da Gestore certificati, completa i passaggi descritti in questa sezione. Prima di poter eliminare un certificato, devi rimuoverlo da tutte le voci della mappa di certificati che vi fanno riferimento, altrimenti l'eliminazione non andrà a buon fine.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestore dei certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato di destinazione.
  • REGION: la regione Google Cloud di destinazione. Il valore predefinito è global. Questa impostazione è facoltativa.

API

Elimina il certificato effettuando una richiesta DELETE al metodo certificates.delete, come segue:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
  • REGION: la regione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato di destinazione.

Passaggi successivi