Questa pagina descrive come creare e gestire una configurazione di emissione dei certificati.
Per ulteriori informazioni sulle risorse di configurazione per l'emissione dei certificati, consulta Funzionamento di Gestione certificati.
Tieni presente che per disabilitare l'ultima CA abilitata nel pool di CA a cui viene fatto riferimento nella configurazione di emissione del certificato o per eliminare completamente il pool di CA di riferimento, devi prima eliminare ogni configurazione di emissione del certificato che fa riferimento al pool di CA.
Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.
Per ulteriori informazioni sui comandi gcloud
utilizzati in questa pagina, consulta
Riferimento per l'interfaccia a riga di comando di Certificate Manager.
Crea una configurazione di emissione del certificato
Per creare una configurazione di emissione del certificato, completa i passaggi descritti in questa sezione.
Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un certificato TLS gestito da Google, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
è un nome univoco che identifica questa risorsa di configurazione dell'emissione del certificato.CA_POOL
è il percorso e il nome completi del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME
(facoltativo) indica la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni. Il valore predefinito è 30 giorni.ROTATION_WINDOW_PERCENTAGE
(facoltativo) indica la percentuale di durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo avvenga almeno sette giorni dopo l'emissione del certificato e almeno sette giorni prima della scadenza.- Il certificato deve essere rinnovato almeno sette giorni interi dopo la scadenza.
KEY_ALGORITHM
(facoltativo) è l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256
orsa-2048
. Il valore predefinito èrsa-2048
.
API
Crea la configurazione di emissione del certificato effettuando una richiesta POST
al metodo certificateIssuanceConfigs.create
come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Sostituisci quanto segue:
PROJECT_ID
è l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG_NAME
è un nome univoco che identifica questa risorsa di configurazione dell'emissione del certificato.DESCRIPTION
(facoltativo) è una descrizione significativa di questa risorsa di configurazione dell'emissione del certificato.CA_POOL
è il percorso e il nome completi del pool di CA che vuoi assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME
(facoltativo) indica la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni nel formato di durata standard. Il valore predefinito è 30 giorni (30D
).
ROTATION_WINDOW_PERCENTAGE
(facoltativo) indica la percentuale di durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato in modo che il rinnovo avvenga almeno sette giorni dopo l'emissione del certificato e almeno sette giorni prima della scadenza.KEY_ALGORITHM
è l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256
orsa-2048
. Il valore predefinito èrsa-2048
.
Aggiorna una risorsa di configurazione per l'emissione del certificato
Per aggiornare una risorsa di configurazione di emissione del certificato, devi eliminarla e ricrearla.
Elenca risorse di configurazione per l'emissione dei certificati
Per elencare le risorse di configurazione per l'emissione dei certificati, completa i passaggi descritti in questa sezione.
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore dei certificati.
Nella pagina visualizzata, seleziona la scheda Configurazioni di emissione. In questa scheda sono elencate tutte le risorse di configurazione dell'emissione dei certificati gestite da Gestore certificati nel progetto selezionato.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Sostituisci quanto segue:
FILTER
è un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:- Etichette e data di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtro che puoi utilizzare con Gestore certificati, vedi Ordinamento e filtro dei risultati degli elenchi nella documentazione di Cloud Key Management Service.
- Etichette e data di creazione:
PAGE_SIZE
è il numero di risultati da restituire per ogni pagina.LIMIT
è il numero massimo di risultati da restituire.SORT_BY
è un elenco delimitato da virgole di campiname
in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; in caso di ordinamento decrescente, anteponi una tilde (~
) al campo.
API
Elenca le risorse di configurazione di emissione dei certificati configurate effettuando una richiesta LIST
al metodo certificateIssuanceConfigs.list
, come indicato di seguito:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID
è l'ID del progetto Google Cloud di destinazione.FILTER
è un'espressione che vincola i risultati restituiti a valori specifici.PAGE_SIZE
è il numero di risultati da restituire per ogni pagina.SORT_BY
è un elenco delimitato da virgole di nomi di campi in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso~
al campo.
Visualizzare lo stato della configurazione di emissione di un certificato
Per visualizzare lo stato della configurazione di emissione di un certificato, completa i passaggi descritti in questa sezione.
Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore dei certificati.
Nella pagina visualizzata, seleziona la scheda Configurazioni di emissione. In questa scheda sono elencate tutte le risorse di configurazione dell'emissione dei certificati gestite da Gestore certificati nel progetto selezionato.
Fai clic sulla configurazione di emissione del certificato che vuoi visualizzare.
Nella console Google Cloud vengono visualizzati i dettagli di configurazione dell'emissione dei certificati.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
è il nome della configurazione di emissione dei certificati di destinazione.
API
Visualizza lo stato della configurazione di emissione del certificato effettuando una richiesta GET
al metodo certificateIssuanceConfigs.get
come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID
è l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG__NAME
è il nome della configurazione di emissione dei certificati di destinazione.
Elimina una configurazione di emissione del certificato
Per eliminare una configurazione di emissione di certificati, completa i passaggi descritti in questa sezione. Prima di eliminare una configurazione di emissione di certificati, devi eliminare il certificato gestito da Google che la fa riferimento.
Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nel progetto Google Cloud di destinazione.
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME
è il nome della configurazione di emissione dei certificati di destinazione.
API
Elimina la configurazione di emissione del certificato effettuando una richiesta DELETE
al metodo certificateIssuanceConfigs.delete
come segue:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID
è l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG_NAME
è il nome della configurazione di emissione dei certificati di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestisci le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci le autorizzazioni DNS