Questa pagina descrive come creare e gestire una risorsa di configurazione per la concessione di certificati.
Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Come funziona Certificate Manager.
Crea una risorsa di configurazione dell'emissione dei certificati
Prima di creare la risorsa di configurazione dell'emissione, configura l'integrazione del servizio CA con Gestore certificati.
Per creare una risorsa di configurazione per l'emissione di certificati, specifica la durata del certificato, la percentuale della finestra di rotazione, l'algoritmo della chiave e il pool di CA da utilizzare.
Anche se utilizzi un pool di CA regionale per emettere un certificato TLS gestito da Google, il certificato può essere utilizzato a livello globale.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Configurazioni di emissione, fai clic su Crea.
Nel campo Nome, inserisci un nome univoco per la risorsa di configurazione dell'emissione dei certificati.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione di emissione.
Per Località, seleziona Globale o Regionale. Se hai selezionato Regionale, seleziona la stessa Regione del certificato e del pool di CA.
Nel campo Lifetime (Durata), specifica la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
In Percentuale finestra di rotazione, specifica la percentuale della durata del certificato all'inizio del processo di rinnovo. Per trovare l'intervallo di valori validi, consulta la sezione Percentuale della finestra di rotazione e del lifetime.
Dall'elenco Algoritmo chiave, seleziona l'algoritmo chiave da utilizzare per la generazione della chiave privata.
Nell'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
gcloud
Per creare una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs create
comando:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.CA_POOL: il percorso completo e il nome della risorsa del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato della durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Durata e Percentuale della finestra di rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.LOCATION: la località Google Cloud di destinazione.
API
Crea la risorsa di configurazione dell'emissione dei certificati inviando una richiesta POST
al metodo certificateIssuanceConfigs.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud.LOCATION: la località Google Cloud di destinazione.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.DESCRIPTION: una descrizione significativa per la risorsa di configurazione dell'emissione dei certificati.CA_POOL: il percorso completo e il nome della risorsa del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato della durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Durata e Percentuale della finestra di rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.
Durata e percentuale della finestra di rotazione
Quando crei una risorsa di configurazione per l'emissione di certificati, definisci anche la durata del certificato nel campo Durata e quando inizia la procedura di rinnovo del certificato prima della scadenza nel campo Percentuale finestra di rotazione.
Per assicurarti che il certificato venga rinnovato almeno sette giorni prima della scadenza e sette giorni dopo la sua emissione, imposta la percentuale della finestra di rotazione relativa alla durata del certificato. Per calcolare l'intervallo consentito per la percentuale della finestra di rotazione, utilizza le seguenti formule:
- Valore minimo: percentuale della finestra di rotazione ≥ (7 / Durata) * 100
- Valore massimo: percentuale della finestra di rotazione ≤ ( (Durata - 7) / Durata) * 100
Nelle formule precedenti, 7 corrisponde a sette giorni.
Se il valore minimo è decimale, arrotonda per eccesso al numero intero più vicino. Se il valore massimo è decimale, arrotonda per difetto al numero intero più vicino.
Elenca le configurazioni di emissione dei certificati
Puoi visualizzare tutte le risorse di configurazione di emissione dei certificati del tuo progetto e i relativi dettagli.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Fai clic sulla scheda Configurazioni di emissione. La scheda elenca tutte le risorse di configurazione per la concessione dei certificati gestite da Gestore certificati nel progetto selezionato.
gcloud
Per elencare le risorse di configurazione di emissione dei certificati, utilizza il
comando certificate-manager issuance-configs list:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Sostituisci quanto segue:
FILTER: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.LIMIT: il numero massimo di risultati da restituire.SORT_BY: un elenco separato da virgole di campinamein base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo un a capo (~).LOCATION: la località Google Cloud di destinazione.
API
Elenca le risorse di configurazione dell'emissione dei certificati configurate inviando una richiesta LIST
al metodo certificateIssuanceConfigs.list come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud.FILTER: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.SORT_BY: un elenco separato da virgole di campinamein base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).
Visualizzare lo stato di una risorsa di configurazione dell'emissione di certificati
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Fai clic sulla scheda Configurazioni di emissione.
Fai clic sul nome della risorsa di configurazione per l'emissione dei certificati che vuoi visualizzare. La console Google Cloud mostra i dettagli della risorsa di configurazione per la concessione dei certificati.
gcloud
Per visualizzare lo stato di una risorsa di configurazione per l'emissione di certificati, utilizza il
certificate-manager issuance-configs describe
comando:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sostituisci ISSUANCE_CONFIG_NAME con il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
API
Per visualizzare lo stato della risorsa di configurazione dell'emissione dei certificati, invia una richiesta GET al metodo certificateIssuanceConfigs.get come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Eliminare una risorsa di configurazione dell'emissione dei certificati
Prima di eliminare una risorsa di configurazione per l'emissione di certificati, devi prima eliminare il certificato gestito da Google che fa riferimento.
Per disattivare l'ultima CA che hai attivato in un pool di CA a cui viene fatto riferimento nella risorsa di configurazione dell'emissione dei certificati o per eliminare completamente il pool di CA, devi prima eliminare tutte le risorse di configurazione dell'emissione dei certificati che fanno riferimento al pool di CA.
Console
Nella console Google Cloud, vai alla pagina Gestione certificati.
Nella scheda Configurazioni di emissione, seleziona la casella di controllo della configurazione di emissione da eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
Per eliminare una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs delete
comando:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.LOCATION: la località Google Cloud di destinazione.
API
Elimina la risorsa di configurazione dell'emissione dei certificati inviando una richiesta DELETE
al metodo certificateIssuanceConfigs.delete come segue:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto Google Cloud.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestire le mappe dei certificati
- Gestire le voci delle mappe dei certificati
- Gestire le autorizzazioni DNS