Gestisci la configurazione dell'emissione dei certificati

Questa pagina descrive come creare e gestire una configurazione di rilascio dei certificati.

Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Come funziona Gestore certificati.

Tieni presente che per disattivare l'ultima CA che hai attivato nel pool di CA a cui fa riferimento la configurazione di emissione dei certificati o per eliminare del tutto il pool di CA a cui fa riferimento, devi prima eliminare ogni configurazione di emissione dei certificati che fa riferimento a quel pool di CA.

Per scoprire come eseguire il deployment di un certificato con Certificate Manager, consulta la Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta le Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una configurazione dell'emissione dei certificati

Per creare una configurazione di rilascio dei certificati, completa i passaggi descritti in questa sezione.

Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un Certificato TLS, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Nella scheda Configurazioni di emissione, fai clic su Crea.

  3. Nel campo Nome, inserisci un nome univoco per la configurazione di emissione dei certificati.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione di emissione.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, seleziona la Regione.

  6. Nel campo Lifetime, specifica la durata in giorni del certificato emesso. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).

  7. Nella sezione Percentuale finestra di rotazione, specifica la percentuale della durata del certificato all'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale della durata e della finestra di rotazione.

  8. Dall'elenco Algoritmo chiave, seleziona l'algoritmo chiave da utilizzare per la generazione della chiave privata.

  9. Nell'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa configurazione dell'emissione dei certificati.

  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica un key e un value per l'etichetta.

  11. Fai clic su Crea.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME è un nome univoco che identifica questa risorsa di configurazione dell'emissione dei certificati.
  • CA_POOL è il percorso completo e il nome della risorsa del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.
  • CERTIFICATE_LIFETIME (facoltativo) è la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni. Il valore predefinito è 30 giorni.
  • ROTATION_WINDOW_PERCENTAGE (facoltativo) è la percentuale della durata del certificato al momento dell'inizio del processo di rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta Percentuale della durata e della finestra di rotazione.
  • KEY_ALGORITHM (facoltativo) è l'algoritmo di crittografia per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048.

API

Crea la configurazione di emissione dei certificati effettuando una richiesta POST a certificateIssuanceConfigs.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • ISSUANCE_CONFIG_NAME è un nome univoco che identifica questa risorsa di configurazione dell'emissione dei certificati.
  • DESCRIPTION (facoltativo) è una descrizione significativa per questa risorsa di configurazione dell'emissione del certificato.
  • CA_POOL è il percorso completo e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.
  • CERTIFICATE_LIFETIME (facoltativo) è la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni in formato di durata standard. Il valore predefinito è 30 giorni (30D).
  • ROTATION_WINDOW_PERCENTAGE (facoltativo) indica la percentuale della durata del certificato in cui inizia il processo di rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta Lifetime e Percentuale della finestra di rotazione.
  • KEY_ALGORITHM è l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sono ecdsa-p256 o rsa-2048. Il valore predefinito è rsa-2048.

Durata e percentuale della finestra di rotazione

Quando crei una configurazione per l'emissione dei certificati, ne definisci anche la durata nel campo Durata e quando il processo di rinnovo del certificato inizia prima della scadenza nel campo Percentuale finestra di rotazione.

Per assicurarti che il certificato venga rinnovato almeno sette giorni prima della scadenza e sette giorni dopo la sua emissione, imposta la percentuale della finestra di rotazione in base alla durata del certificato. Per calcolare l'intervallo consentito per la percentuale della finestra di rotazione, utilizza le seguenti formule:

  • Valore minimo: percentuale della finestra di rotazione ≥ (7/Durata) * 100
  • Valore massimo: Percentuale finestra di rotazione ≤ (((Durata - 7) / Durata) * 100

Nelle formule precedenti, 7 corrisponde a sette giorni.

Se il valore minimo è decimale, arrotonda per eccesso al numero intero più vicino. Se il valore massimo è un valore decimale, arrotondalo per difetto al numero intero più vicino.

Elenca le configurazioni di emissione dei certificati

Per elencare le configurazioni di emissione dei certificati, completa i passaggi in questo .

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Fai clic sulla scheda Configurazioni di emissione.

La scheda elenca tutte le risorse di configurazione dell'emissione dei certificati gestite da Gestore certificati nel progetto selezionato.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • FILTER è un'espressione che vincola la query a valori specifici. Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE è il numero di risultati da restituire per pagina.

  • LIMIT è il numero massimo di risultati da restituire.

  • SORT_BY è un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; della in ordine decrescente, fai precedere il campo con una tilde (~).

API

Elenca le risorse di configurazione dell'emissione dei certificati configurate inviando una richiesta LIST a certificateIssuanceConfigs.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • FILTER è un'espressione che vincola la query a valori specifici.
  • PAGE_SIZE è il numero di risultati da restituire per pagina.
  • SORT_BY è un elenco di nomi di campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo il prefisso ~.

Visualizza lo stato della configurazione di emissione di un certificato

Per visualizzare lo stato della configurazione dell'emissione di un certificato, completa i passaggi di questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Fai clic sulla scheda Configurazioni di emissione.

  3. Fai clic sul nome della configurazione di emissione del certificato che vuoi visualizzare.

Nella console Google Cloud vengono visualizzati i dettagli della configurazione dell'emissione dei certificati.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME è il nome della configurazione di emissione dei certificati di destinazione.

API

Visualizza lo stato della configurazione dell'emissione dei certificati effettuando una richiesta GET a certificateIssuanceConfigs.get come segue:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • ISSUANCE_CONFIG__NAME è il nome della configurazione di emissione dei certificati di destinazione.

Aggiornare una configurazione di emissione dei certificati

Puoi aggiungere o modificare le etichette e le descrizioni della configurazione di emissione dei certificati utilizzando l'API o Google Cloud CLI.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Editor
  • Certificate Manager Owner

Scopri di più su Ruoli e autorizzazioni.

gcloud

Utilizza la gcloud certificate-manager issuance-configs update per aggiornare la configurazione dell'emissione di un certificato:

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME è il nome della configurazione di emissione dei certificati di destinazione da aggiornare.
  • (Facoltativo) LABELS corrisponde a una o più etichette che vuoi per configurare l'emissione del certificato. Le etichette devono essere specificate in un elenco separato da virgole come coppie KEY=VALUE.
  • (Facoltativo) DESCRIPTION descrive configurazione dell'emissione dei certificati.

API

Utilizza il metodo certificateIssuanceConfigs.patch per aggiornare una configurazione di emissione di certificati:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • ISSUANCE_CONFIG_NAME è il nome della configurazione di emissione dei certificati di destinazione da aggiornare.
  • (Facoltativo) Puoi specificare una o più etichette per ogni emissione di certificato configurazione.
    • LABEL_KEY è la chiave dell'etichetta.
    • LABEL_VALUE_ è il valore dell'etichetta.
  • (Facoltativo) DESCRIPTION descrive configurazione dell'emissione dei certificati.

Eliminare una configurazione dell'emissione dei certificati

Per eliminare una configurazione per l'emissione dei certificati, completa i passaggi di questa sezione. Prima di eliminare una configurazione di rilascio del certificato, devi prima eliminare il certificato gestito da Google che fa riferimento al certificato.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nella progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore dei certificati

  2. Nella scheda Configurazioni di emissione, seleziona la casella di controllo della configurazione di emissione che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • ISSUANCE_CONFIG_NAME è il nome della configurazione di emissione dei certificati di destinazione.

API

Elimina la configurazione dell'emissione dei certificati inviando una richiesta DELETE al metodo certificateIssuanceConfigs.delete come segue:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • ISSUANCE_CONFIG_NAME è il nome della configurazione di emissione dei certificati di destinazione.

Passaggi successivi