Questa pagina descrive come utilizzare Gestore dei certificati per creare e gestire i certificati Transport Layer Security (TLS) (SSL).
Per ulteriori informazioni, vedi Certificati supportati.
Creare un certificato gestito da Google
Certificate Manager ti consente di creare certificati gestiti da Google nei seguenti modi:
- Certificati gestiti da Google con autorizzazione del bilanciatore del carico (globale)
- Certificati gestiti da Google con autorizzazione DNS (globali, regionali e tra regioni)
- Certificati gestiti da Google con Certificate Authority Service (servizio CA) (globali, regionali e tra regioni)
Autorizzazione bilanciatore del carico
L'autorizzazione del bilanciatore del carico ti consente di ottenere un certificato gestito da Google per il tuo dominio quando il traffico viene pubblicato dal bilanciatore del carico. Questo metodo non richiede record DNS aggiuntivi per il provisioning dei certificati. Puoi utilizzare le autorizzazioni del bilanciatore del carico per i nuovi ambienti senza traffico esistente. Per informazioni su quando utilizzare l'autorizzazione del bilanciatore del carico con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.
Puoi creare certificati gestiti da Google con autorizzazione del bilanciatore del carico solo
nella località global
. I certificati autorizzati del bilanciatore del carico non supportano i domini con caratteri jolly.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona Globale.
In Ambito, seleziona una delle seguenti opzioni:
- Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
- Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Non puoi utilizzare l'autorizzazione del bilanciatore del carico con una località Regionale o l'ambito Tutte le regioni.
In Tipo di certificato, seleziona Crea un certificato gestito da Google.
In Tipo di autorità di certificazione, seleziona Pubblica.
Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio
myorg.example.com
.In Tipo di autorizzazione, seleziona Autorizzazione bilanciatore del carico.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su
Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato gestito da Google globale con autorizzazione per il bilanciatore del carico, utilizza il comando certificate-manager certificates create
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ [--scope=SCOPE]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAMES
: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Terraform
Utilizza una google_certificate_manager_certificate
risorsa.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
API
Crea il certificato inviando una richiesta POST
al metodo certificates.create
come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], "scope": "SCOPE" //optional } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAMES
: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Autorizzazione DNS
Per utilizzare i certificati gestiti da Google prima che l'ambiente di produzione sia pronto, puoi eseguirne il provisioning con le autorizzazioni DNS. Per informazioni su quando utilizzare l'autorizzazione DNS con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.
Per gestire in modo indipendente i certificati in più progetti, puoi utilizzare l'autorizzazione DNS per progetto. Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, consulta Creare un'autorizzazione DNS.
Prima di creare il certificato, segui questi passaggi:
- Crea un'autorizzazione DNS per ciascuno dei nomi di dominio coperti dal certificato.
- Aggiungi il record CNAME alla configurazione DNS per il sottodominio di convalida nella zona DNS del dominio di destinazione.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona Globale o Regionale.
Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.
In Ambito, seleziona una delle seguenti opzioni:
- Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
- Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
- Cache di EDGE: se intendi utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Il campo Ambito non è disponibile se hai selezionato una località Regionale.
In Tipo di certificato, seleziona Crea un certificato gestito da Google.
In Tipo di autorità di certificazione, seleziona Pubblica.
Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio
myorg.example.com
. Il nome di dominio può anche essere un nome di dominio con caratteri jolly, ad esempio*.example.com
.In Tipo di autorizzazione, seleziona Autorizzazione DNS.
La pagina elenca le autorizzazioni DNS dei nomi di dominio. Se un nome di dominio non ha un'autorizzazione DNS associata, segui questi passaggi per crearne una:
- Fai clic su Crea autorizzazione DNS mancante.
- Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS.
Il tipo di autorizzazione DNS predefinito è
FIXED_RECORD
. Per gestire in modo indipendente i certificati in più progetti, seleziona la casella di controllo Autorizzazione per progetto. - Fai clic su Crea autorizzazione DNS.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su
Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato gestito da Google con autorizzazione DNS, esegui il
comando certificate-manager certificates create
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAME, *.DOMAIN_NAME" \ --dns-authorizations="AUTHORIZATION_NAMES" \ [--location=LOCATION] \ [--scope=SCOPE]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAME
: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
, o un dominio con carattere jolly, ad esempio*.myorg.example.com
. Il prefisso asterisco con punto (*.) indica un certificato jolly.AUTHORIZATION_NAMES
: un elenco separato da virgole dei nomi delle autorizzazioni DNS.LOCATION
: la località Google Cloud di destinazione. Il valore predefinito èglobal
.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Terraform
Utilizza una risorsa google_certificate_manager_certificate
.
API
Crea il certificato inviando una richiesta POST
al metodo certificates.
create
come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", "scope": "SCOPE" //optional } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione.CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAME
: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e di specificare più domini nel certificato.
Emesso da CA Service
Puoi integrare Gestore certificati con il servizio CA per emettere certificati gestiti da Google. Per emettere certificati gestiti da Google a livello globale, utilizza un pool di CA regionali in qualsiasi regione. Per emettere certificati regionali gestiti da Google, utilizza un pool di CA nella stessa regione del certificato.
Prima di creare il certificato, configura l'integrazione del servizio CA con Gestore certificati.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona Globale o Regionale.
Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.
In Ambito, seleziona una delle seguenti opzioni:
- Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
- Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
- Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Il campo Ambito non è disponibile se hai selezionato una località Regionale.
In Tipo di certificato, seleziona Crea un certificato gestito da Google.
In Tipo di autorità di certificazione, seleziona Privato.
Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio
myorg.example.com
.In Seleziona una configurazione per l'emissione del certificato, seleziona il nome della risorsa di configurazione per l'emissione del certificato che fa riferimento al pool di CA di destinazione.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su
Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato gestito da Google con Certificate Authority Service, utilizza il
certificate-manager certificates create
comando:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME \ [--location="LOCATION"] \ [--scope=SCOPE]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAME
: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
, o un dominio con carattere jolly, ad esempio*.myorg.example.com
. Il prefisso asterisco con punto (*.) indica un certificato jolly.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.LOCATION
: la località Google Cloud di destinazione. Il valore predefinito èglobal
.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
API
Crea il certificato inviando una richiesta POST
al metodo certificates.create
come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME" { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", "scope": "SCOPE" //optional } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione.CERTIFICATE_NAME
: il nome del certificato.DOMAIN_NAME
: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempiomyorg.example.com
.ISSUANCE_CONFIG_NAME
: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Carica un certificato autogestito
Per caricare un certificato autogestito, carica il file del certificato (CRT) e il file della chiave privata (KEY) corrispondente. Puoi caricare certificati X.509 TLS (SSL) globali e regionali dei seguenti tipi:
- Certificati generati da autorità di certificazione (CA) di terze parti di tua scelta.
- Certificati generati da autorità di certificazione sotto il tuo controllo.
- Certificati autofirmati, come descritto in Creare una chiave privata e un certificato.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Certificati, fai clic su Aggiungi certificato.
Nel campo Nome certificato, inserisci un nome univoco per il certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.
Per Località, seleziona Globale o Regionale.
Se hai selezionato Regionale, dall'elenco Regione, seleziona la tua regione.
In Ambito, seleziona una delle seguenti opzioni:
- Predefinito: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.
- Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
- Cache di EDGE: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Il campo Ambito non è disponibile se hai selezionato una località Regionale.
In Tipo di certificato, seleziona Crea certificato autogestito.
Per il campo Certificate, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
- Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con
-----BEGIN CERTIFICATE-----
e terminare con-----END CERTIFICATE-----
.
Per il campo Certificato chiave privata, esegui una delle seguenti operazioni:
- Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta con una passphrase.
- Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con
-----BEGIN PRIVATE KEY-----
e terminare con-----END PRIVATE KEY-----
.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su
Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.Fai clic su Crea.
Il nuovo certificato viene visualizzato nell'elenco dei certificati.
gcloud
Per creare un certificato autogestito, utilizza il comando certificate-manager certificates create
:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="LOCATION"] \ [--scope=SCOPE]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.CERTIFICATE_FILE
: il percorso e il nome del file del certificato CRT.PRIVATE_KEY_FILE
: il percorso e il nome del file della chiave privata KEY.LOCATION
: la località Google Cloud di destinazione. Il valore predefinito èglobal
.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Terraform
Per caricare un certificato con gestione indipendente, puoi utilizzare una
risorsa google_certificate_manager_certificate
con il blocco self_managed
.
API
Carica il certificato inviando una richiesta POST
al metodo certificates.create
come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", scope: SCOPE } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione.CERTIFICATE_NAME
: il nome del certificato.PEM_CERTIFICATE
: il certificato PEM.PEM_KEY
: la chiave PEM.SCOPE
: inserisci una delle seguenti opzioni:default
: se prevedi di utilizzare il certificato con bilanciatore del carico delle applicazioni esterno globale o bilanciatore del carico di rete proxy esterno globale.all-regions
: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.edge-cache
: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.
Aggiornare un certificato
Puoi aggiornare un certificato esistente senza modificare le relative assegnazioni ai nomi di dominio all'interno della mappa dei certificati corrispondente. Quando aggiorni un certificato, assicurati che i SAN nel nuovo certificato corrispondano esattamente ai SAN nel certificato esistente.
Certificati gestiti da Google
Per i certificati gestiti da Google, puoi aggiornare solo la descrizione e le etichette del certificato.
Console
Non puoi aggiornare un certificato dalla console Google Cloud. Utilizza invece l'interfaccia a riga di comando Google Cloud.
gcloud
Per aggiornare un certificato gestito da Google, utilizza il
certificate-manager certificates update
comando:
gcloud certificate-manager certificates update CERTIFICATE_NAME \ [--description="DESCRIPTION"] \ [--update-labels="LABELS"]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.DESCRIPTION
: una descrizione univoca del certificato.LABELS
: un elenco separato da virgole delle etichette applicate a questo certificato.
API
Aggiorna il certificato inviando una richiesta PATCH
al metodo certificates.patch
come segue:
PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.CERTIFICATE_NAME
: il nome del certificato.DESCRIPTION
: una descrizione del certificato.LABEL_KEY
: una chiave dell'etichetta applicata al certificato.LABEL_VALUE
: un valore di etichetta applicato al certificato.
Certificati autogestiti
Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:
- Il file CRT del certificato
Il file KEY della chiave privata corrispondente
Console
Non puoi aggiornare un certificato dalla console Google Cloud. Utilizza invece l'interfaccia a riga di comando Google Cloud.
gcloud
Per aggiornare un certificato autogestito, utilizza il certificate-manager
certificates update
comando:
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="LOCATION"]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.CERTIFICATE_FILE
: il percorso e il nome del file del certificato CRT.PRIVATE_KEY_FILE
: il percorso e il nome del file della chiave privata KEY.DESCRIPTION
: un valore di descrizione univoco per questo documento.LABELS
: un elenco separato da virgole delle etichette applicate a questo certificato.LOCATION
: la località Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.
API
Aggiorna il certificato inviando una richiesta PATCH
al metodo certificates.patch
come segue:
PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.CERTIFICATE_NAME
: il nome del certificato.PEM_CERTIFICATE
: il certificato PEM.PEM_KEY
: la chiave PEM.DESCRIPTION
: una descrizione significativa del certificato.LABEL_KEY
: una chiave dell'etichetta applicata al certificato.LABEL_VALUE
: un valore di etichetta applicato al certificato.
Elenco dei certificati
Puoi vedere tutti i certificati del tuo progetto e i relativi dettagli, ad esempio regione, hostname, data di scadenza e tipo.
Console
La pagina Gestione certificati nella console Google Cloud può visualizzare un massimo di 10.000 certificati. Se il tuo progetto contiene più di 10.000 certificati gestiti da Certificate Manager, utilizza il comando gcloud CLI.
Per visualizzare i certificati di cui è stato eseguito il provisioning da Gestore certificati:
Nella console Google Cloud, vai alla pagina Gestione certificati.
Fai clic sulla scheda Certificati.
Questa scheda elenca tutti i certificati gestiti da Gestore certificati nel progetto selezionato.
Per visualizzare i certificati di cui è stato eseguito il provisioning tramite Cloud Load Balancing:
Nella console Google Cloud, vai alla pagina Gestione certificati.
Fai clic sulla scheda Certificati classici.
I certificati classici non sono gestiti da Gestore certificati. Per maggiori informazioni su come gestirle, consulta quanto segue:
gcloud
Per elencare i certificati, utilizza il comando certificate-manager certificates list
:
gcloud certificate-manager certificates list \ [--location="LOCATION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Sostituisci quanto segue:
LOCATION
: la località Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza-
come valore. Il valore predefinito èglobal
. Questo flag è facoltativo.FILTER
: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
- Data/ora di scadenza:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nomi DNS SAN:
--filter='san_dnsnames:"example.com"'
- Stato del certificato:
--filter='managed.state=FAILED'
- Tipo di certificato:
--filter='managed:*'
- Etichette e data/ora di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
- Data/ora di scadenza:
PAGE_SIZE
: il numero di risultati da restituire per pagina.LIMIT
: il numero massimo di risultati da restituire.SORT_BY
: un elenco separato da virgole di campiname
in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo un a capo (~
).
API
Elenca i certificati inviando una richiesta LIST
al metodo certificates.list
come segue:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza-
come valore.FILTER
: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
- Data/ora di scadenza:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- Nomi DNS SAN:
--filter='san_dnsnames:"example.com"'
- Stato del certificato:
--filter='managed.state=FAILED'
- Tipo di certificato:
--filter='managed:*'
Etichette e data/ora di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
- Data/ora di scadenza:
PAGE_SIZE
: il numero di risultati da restituire per pagina.SORT_BY
: un elenco separato da virgole di campiname
in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~
).
Visualizzare lo stato di un certificato
Puoi visualizzare lo stato di un certificato esistente, incluso lo stato del provisioning e altre informazioni dettagliate.
Console
Se il tuo progetto contiene più di 10.000 certificati gestiti da Gestore dei certificati, la pagina Gestore dei certificati nella console Google Cloud non li mostrerà. Utilizza invece il comando gcloud CLI. Tuttavia, se hai un link diretto alla pagina Dettagli del certificato, puoi visualizzarne i dettagli nella console Google Cloud.
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella pagina visualizzata, seleziona la scheda Certificati.
Nella scheda Certificati, vai al certificato di destinazione e fai clic sul nome del certificato.
La pagina Dettagli del certificato mostra informazioni dettagliate sul certificato selezionato.
(Facoltativo) Per visualizzare la risposta REST dell'API Certificate Manager per questo certificato, fai clic su REST equivalente.
(Facoltativo) Se al certificato è associata una configurazione di emissione del certificato che vuoi visualizzare, fai clic sul nome della risorsa di configurazione di emissione del certificato associata nel campo Configurazione di emissione.
La console Google Cloud mostra la configurazione completa della configurazione di rilascio dei certificati.
gcloud
Per visualizzare lo stato di un certificato, utilizza il comando certificate-manager
certificates describe
:
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="LOCATION"]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.LOCATION
: la località Google Cloud di destinazione. La posizione predefinita èglobal
. Questo flag è facoltativo.
API
Visualizza lo stato del certificato inviando una richiesta GET
al metodo
certificates.get
come segue:
GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione.CERTIFICATE_NAME
: il nome del certificato.
Eliminare un certificato
Prima di eliminare un certificato, rimuoverlo da tutte le voci della mappa dei certificati che fanno riferimento al certificato; in caso contrario, l'eliminazione non andrà a buon fine. Per ulteriori informazioni, consulta Eliminare una voce della mappa dei certificati.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
Per eliminare un certificato, utilizza il comando certificate-manager certificates delete
:
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="LOCATION"]
Sostituisci quanto segue:
CERTIFICATE_NAME
: il nome del certificato.LOCATION
: la località Google Cloud di destinazione. La posizione predefinita èglobal
. Questo flag è facoltativo.
API
Elimina il certificato inviando una richiesta DELETE
al metodo
certificates.delete
come segue:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud.LOCATION
: la località Google Cloud di destinazione.CERTIFICATE_NAME
: il nome del certificato.
Passaggi successivi
- Gestire le mappe dei certificati
- Gestire le voci delle mappe dei certificati
- Gestire le autorizzazioni DNS
- Gestire le risorse di configurazione dell'emissione dei certificati