Gestisci certificati

Questa pagina descrive come utilizzare Gestore dei certificati per creare e gestire i certificati Transport Layer Security (TLS) (SSL).

Per ulteriori informazioni, vedi Certificati supportati.

Creare un certificato gestito da Google

Certificate Manager ti consente di creare certificati gestiti da Google nei seguenti modi:

  • Certificati gestiti da Google con autorizzazione del bilanciatore del carico (globale)
  • Certificati gestiti da Google con autorizzazione DNS (globali, regionali e tra regioni)
  • Certificati gestiti da Google con Certificate Authority Service (servizio CA) (globali, regionali e tra regioni)

Autorizzazione bilanciatore del carico

L'autorizzazione del bilanciatore del carico ti consente di ottenere un certificato gestito da Google per il tuo dominio quando il traffico viene pubblicato dal bilanciatore del carico. Questo metodo non richiede record DNS aggiuntivi per il provisioning dei certificati. Puoi utilizzare le autorizzazioni del bilanciatore del carico per i nuovi ambienti senza traffico esistente. Per informazioni su quando utilizzare l'autorizzazione del bilanciatore del carico con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.

Puoi creare certificati gestiti da Google con autorizzazione del bilanciatore del carico solo nella località global. I certificati autorizzati del bilanciatore del carico non supportano i domini con caratteri jolly.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Non puoi utilizzare l'autorizzazione del bilanciatore del carico con una località Regionale o l'ambito Tutte le regioni.

  7. In Tipo di certificato, seleziona Crea un certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Pubblica.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  10. In Tipo di autorizzazione, seleziona Autorizzazione bilanciatore del carico.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google globale con autorizzazione per il bilanciatore del carico, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Utilizza una google_certificate_manager_certificate risorsa.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Autorizzazione DNS

Per utilizzare i certificati gestiti da Google prima che l'ambiente di produzione sia pronto, puoi eseguirne il provisioning con le autorizzazioni DNS. Per informazioni su quando utilizzare l'autorizzazione DNS con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.

Per gestire in modo indipendente i certificati in più progetti, puoi utilizzare l'autorizzazione DNS per progetto. Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, consulta Creare un'autorizzazione DNS.

Prima di creare il certificato, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Cache di EDGE: se intendi utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località Regionale.

  7. In Tipo di certificato, seleziona Crea un certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Pubblica.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com. Il nome di dominio può anche essere un nome di dominio con caratteri jolly, ad esempio *.example.com.

  10. In Tipo di autorizzazione, seleziona Autorizzazione DNS.

    La pagina elenca le autorizzazioni DNS dei nomi di dominio. Se un nome di dominio non ha un'autorizzazione DNS associata, segui questi passaggi per crearne una:

    1. Fai clic su Crea autorizzazione DNS mancante.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS. Il tipo di autorizzazione DNS predefinito è FIXED_RECORD. Per gestire in modo indipendente i certificati in più progetti, seleziona la casella di controllo Autorizzazione per progetto.
    3. Fai clic su Crea autorizzazione DNS.
  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google con autorizzazione DNS, esegui il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com, o un dominio con carattere jolly, ad esempio *.myorg.example.com. Il prefisso asterisco con punto (*.) indica un certificato jolly.
  • AUTHORIZATION_NAMES: un elenco separato da virgole dei nomi delle autorizzazioni DNS.
  • LOCATION: la località Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Utilizza una risorsa google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crea il certificato inviando una richiesta POST al metodo certificates. create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e di specificare più domini nel certificato.

Emesso da CA Service

Puoi integrare Gestore certificati con il servizio CA per emettere certificati gestiti da Google. Per emettere certificati gestiti da Google a livello globale, utilizza un pool di CA regionali in qualsiasi regione. Per emettere certificati regionali gestiti da Google, utilizza un pool di CA nella stessa regione del certificato.

Prima di creare il certificato, configura l'integrazione del servizio CA con Gestore certificati.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località Regionale.

  7. In Tipo di certificato, seleziona Crea un certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Privato.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  10. In Seleziona una configurazione per l'emissione del certificato, seleziona il nome della risorsa di configurazione per l'emissione del certificato che fa riferimento al pool di CA di destinazione.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google con Certificate Authority Service, utilizza il certificate-manager certificates create comando:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com, o un dominio con carattere jolly, ad esempio *.myorg.example.com. Il prefisso asterisco con punto (*.) indica un certificato jolly.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
  • LOCATION: la località Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Carica un certificato autogestito

Per caricare un certificato autogestito, carica il file del certificato (CRT) e il file della chiave privata (KEY) corrispondente. Puoi caricare certificati X.509 TLS (SSL) globali e regionali dei seguenti tipi:

  • Certificati generati da autorità di certificazione (CA) di terze parti di tua scelta.
  • Certificati generati da autorità di certificazione sotto il tuo controllo.
  • Certificati autofirmati, come descritto in Creare una chiave privata e un certificato.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località Regionale.

  7. In Tipo di certificato, seleziona Crea certificato autogestito.

  8. Per il campo Certificate, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.
  9. Per il campo Certificato chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta con una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.
  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  11. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato autogestito, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome del file della chiave privata KEY.
  • LOCATION: la località Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Per caricare un certificato con gestione indipendente, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: la chiave PEM.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Aggiornare un certificato

Puoi aggiornare un certificato esistente senza modificare le relative assegnazioni ai nomi di dominio all'interno della mappa dei certificati corrispondente. Quando aggiorni un certificato, assicurati che i SAN nel nuovo certificato corrispondano esattamente ai SAN nel certificato esistente.

Certificati gestiti da Google

Per i certificati gestiti da Google, puoi aggiornare solo la descrizione e le etichette del certificato.

Console

Non puoi aggiornare un certificato dalla console Google Cloud. Utilizza invece l'interfaccia a riga di comando Google Cloud.

gcloud

Per aggiornare un certificato gestito da Google, utilizza il certificate-manager certificates update comando:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione univoca del certificato.
  • LABELS: un elenco separato da virgole delle etichette applicate a questo certificato.

API

Aggiorna il certificato inviando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione del certificato.
  • LABEL_KEY: una chiave dell'etichetta applicata al certificato.
  • LABEL_VALUE: un valore di etichetta applicato al certificato.

Certificati autogestiti

Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:

  • Il file CRT del certificato
  • Il file KEY della chiave privata corrispondente

Console

Non puoi aggiornare un certificato dalla console Google Cloud. Utilizza invece l'interfaccia a riga di comando Google Cloud.

gcloud

Per aggiornare un certificato autogestito, utilizza il certificate-manager certificates update comando:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome del file della chiave privata KEY.
  • DESCRIPTION: un valore di descrizione univoco per questo documento.
  • LABELS: un elenco separato da virgole delle etichette applicate a questo certificato.
  • LOCATION: la località Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.

API

Aggiorna il certificato inviando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il certificato PEM.
  • PEM_KEY: la chiave PEM.
  • DESCRIPTION: una descrizione significativa del certificato.
  • LABEL_KEY: una chiave dell'etichetta applicata al certificato.
  • LABEL_VALUE: un valore di etichetta applicato al certificato.

Elenco dei certificati

Puoi vedere tutti i certificati del tuo progetto e i relativi dettagli, ad esempio regione, hostname, data di scadenza e tipo.

Console

La pagina Gestione certificati nella console Google Cloud può visualizzare un massimo di 10.000 certificati. Se il tuo progetto contiene più di 10.000 certificati gestiti da Certificate Manager, utilizza il comando gcloud CLI.

Per visualizzare i certificati di cui è stato eseguito il provisioning da Gestore certificati:

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Fai clic sulla scheda Certificati.

    Questa scheda elenca tutti i certificati gestiti da Gestore certificati nel progetto selezionato.

Per visualizzare i certificati di cui è stato eseguito il provisioning tramite Cloud Load Balancing:

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Fai clic sulla scheda Certificati classici.

    I certificati classici non sono gestiti da Gestore certificati. Per maggiori informazioni su come gestirle, consulta quanto segue:

gcloud

Per elencare i certificati, utilizza il comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • LOCATION: la località Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza - come valore. Il valore predefinito è global. Questo flag è facoltativo.
  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Data/ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo un a capo (~).

API

Elenca i certificati inviando una richiesta LIST al metodo certificates.list come segue:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza - come valore.
  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Data/ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

Visualizzare lo stato di un certificato

Puoi visualizzare lo stato di un certificato esistente, incluso lo stato del provisioning e altre informazioni dettagliate.

Console

Se il tuo progetto contiene più di 10.000 certificati gestiti da Gestore dei certificati, la pagina Gestore dei certificati nella console Google Cloud non li mostrerà. Utilizza invece il comando gcloud CLI. Tuttavia, se hai un link diretto alla pagina Dettagli del certificato, puoi visualizzarne i dettagli nella console Google Cloud.

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Nella scheda Certificati, vai al certificato di destinazione e fai clic sul nome del certificato.

    La pagina Dettagli del certificato mostra informazioni dettagliate sul certificato selezionato.

  4. (Facoltativo) Per visualizzare la risposta REST dell'API Certificate Manager per questo certificato, fai clic su REST equivalente.

  5. (Facoltativo) Se al certificato è associata una configurazione di emissione del certificato che vuoi visualizzare, fai clic sul nome della risorsa di configurazione di emissione del certificato associata nel campo Configurazione di emissione.

    La console Google Cloud mostra la configurazione completa della configurazione di rilascio dei certificati.

gcloud

Per visualizzare lo stato di un certificato, utilizza il comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • LOCATION: la località Google Cloud di destinazione. La posizione predefinita è global. Questo flag è facoltativo.

API

Visualizza lo stato del certificato inviando una richiesta GET al metodo certificates.get come segue:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.

Eliminare un certificato

Prima di eliminare un certificato, rimuoverlo da tutte le voci della mappa dei certificati che fanno riferimento al certificato; in caso contrario, l'eliminazione non andrà a buon fine. Per ulteriori informazioni, consulta Eliminare una voce della mappa dei certificati.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud

Per eliminare un certificato, utilizza il comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • LOCATION: la località Google Cloud di destinazione. La posizione predefinita è global. Questo flag è facoltativo.

API

Elimina il certificato inviando una richiesta DELETE al metodo certificates.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la località Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.

Passaggi successivi