Questa pagina descrive come creare e gestire una configurazione di emissione dei certificati.
Per ulteriori informazioni sulle risorse di configurazione dell'emissione dei certificati, consulta Come funziona Gestore certificati.
Tieni presente che per disabilitare l'ultima CA che hai abilitato nel pool di CA a cui viene fatto riferimento nel configurazione dell'emissione dei certificati o per eliminare del tutto il pool di CA a cui viene fatto riferimento, è necessario elimina prima ogni configurazione di emissione dei certificati che fa riferimento a quel pool di CA.
Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.
Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta le
Riferimento per l'interfaccia a riga di comando di Certificate Manager.
Crea una configurazione per l'emissione dei certificati
Per creare una configurazione per l'emissione dei certificati, completa i passaggi di questa sezione.
Tieni presente che, anche se utilizzi un pool di CA a livello di regione per emettere un Certificato TLS, il certificato stesso è globale e può essere utilizzato in qualsiasi regione.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAMEè un nome univoco che identifica questa risorsa di configurazione dell'emissione dei certificati.CA_POOLè il percorso completo e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME(facoltativo) indica la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni. Il valore predefinito è 30 giorni.- (Facoltativo)
ROTATION_WINDOW_PERCENTAGEindica la percentuale della durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno 7 giorni dopo sia stato emesso e almeno sette giorni prima della scadenza.- Il certificato deve essere rinnovato almeno sette giorni interi dopo la scadenza.
KEY_ALGORITHM(facoltativo) è l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048.
API
Crea la configurazione di emissione dei certificati effettuando una richiesta POST a certificateIssuanceConfigs.create
come segue:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Sostituisci quanto segue:
PROJECT_IDè l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG_NAMEè un nome univoco che identifica questa risorsa di configurazione dell'emissione dei certificati.DESCRIPTION(facoltativo) è una descrizione significativa di questa risorsa di configurazione dell'emissione dei certificati.CA_POOLè il percorso completo e il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME(facoltativo) indica la durata del certificato in giorni. I valori validi sono compresi tra 21 e 30 giorni in formato di durata standard. Il valore predefinito è 30 giorni (30D).
- (Facoltativo)
ROTATION_WINDOW_PERCENTAGEindica la percentuale della durata del certificato in cui viene attivato un rinnovo. Il valore predefinito è 66%. Devi impostare la percentuale della finestra di rotazione in relazione alla durata del certificato, in modo che il rinnovo del certificato abbia luogo almeno 7 giorni dopo sia stato emesso e almeno sette giorni prima della scadenza. KEY_ALGORITHMè l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048.
Aggiorna una risorsa di configurazione dell'emissione dei certificati
Per aggiornare una risorsa di configurazione dell'emissione dei certificati, devi eliminarla e crearla.
Elenca le risorse di configurazione dell'emissione dei certificati
Per elencare le risorse di configurazione dell'emissione dei certificati, completa i passaggi in questo .
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Configurazioni di emissione. Questa scheda elenca tutte le risorse di configurazione dell'emissione dei certificati gestite Gestore certificati nel progetto selezionato.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Sostituisci quanto segue:
FILTERè un'espressione che vincola la query a valori specifici. Ad esempio, puoi filtrare i risultati per i seguenti criteri:- Etichette e data e ora di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtri che puoi utilizzare con Gestione certificati, consulta Ordinare e filtrare i risultati dell'elenco. disponibile nella documentazione di Cloud Key Management Service.
- Etichette e data e ora di creazione:
PAGE_SIZEè il numero di risultati da restituire per ogni pagina.LIMITè il numero massimo di risultati da restituire.SORT_BYè un elenco dinamecampi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente; della in ordine decrescente, fai precedere il campo con una tilde (~).
API
Elenca le risorse di configurazione dell'emissione dei certificati configurate effettuando una richiesta LIST a certificateIssuanceConfigs.list
come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_IDè l'ID del progetto Google Cloud di destinazione.FILTERè un'espressione che vincola la query a valori specifici.PAGE_SIZEè il numero di risultati da restituire per ogni pagina.SORT_BYè un elenco di nomi di campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente; della in ordine decrescente, fai precedere il campo con~.
Visualizza lo stato della configurazione di emissione di un certificato
Per visualizzare lo stato della configurazione dell'emissione di un certificato, completa i passaggi di questa sezione.
Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:
- Visualizzatore gestore certificati
- Editor gestore certificati
- Proprietario gestore certificati
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella pagina visualizzata, seleziona la scheda Configurazioni di emissione. Questa scheda elenca tutte le risorse di configurazione dell'emissione dei certificati gestite Gestore certificati nel progetto selezionato.
Fai clic sulla configurazione di emissione dei certificati che vuoi visualizzare.
Nella console Google Cloud vengono visualizzati i dettagli della configurazione dell'emissione dei certificati.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAMEè il nome della configurazione di emissione del certificato di destinazione.
API
Visualizza lo stato della configurazione dell'emissione dei certificati effettuando una richiesta GET a certificateIssuanceConfigs.get
come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_IDè l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG__NAMEè il nome della configurazione di emissione del certificato di destinazione.
Elimina una configurazione di emissione dei certificati
Per eliminare una configurazione per l'emissione dei certificati, completa i passaggi di questa sezione. Prima dell'eliminazione una configurazione di emissione del certificato, devi prima eliminare il certificato gestito da Google che vi fa riferimento.
Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nella progetto Google Cloud di destinazione.
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Nella scheda Configurazioni di emissione, seleziona la casella di controllo della configurazione di emissione che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAMEè il nome della configurazione di emissione del certificato di destinazione.
API
Elimina la configurazione dell'emissione dei certificati effettuando una richiesta DELETE a certificateIssuanceConfigs.delete
come segue:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_IDè l'ID del progetto Google Cloud di destinazione.ISSUANCE_CONFIG_NAMEè il nome della configurazione di emissione del certificato di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci autorizzazioni DNS