Gestione delle voci delle mappe dei certificati

Questa sezione descrive come creare e gestire le voci della mappa di certificati. Una voce della mappa di certificati associa un certificato a un nome host di destinazione e a una mappa di certificati di destinazione.

Per ulteriori informazioni sulle voci della mappa di certificati, consulta Come funziona Gestore certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta il riferimento all'interfaccia a riga di comando di Certificate Manager.

Creare una voce della mappa dei certificati

Per creare una voce della mappa di certificati e associare uno o più certificati a completa i passaggi di questa sezione. Devi specificare almeno un certificato all'interno di una voce della mappa dei certificati. Se vuoi specificare più di un elemento certificato per un determinato nome host, puoi farlo solo se per ogni certificato suite di crittografia diversa, ad esempio ECDSA e RSA.

Per associare più certificati a una voce della mappa di certificati, fornisci un elenco separato da virgole dei nomi dei certificati da associare alla voce. Puoi associare un massimo di 4 certificati a una singola voce di mappa di certificati. Per ogni sottodominio, devi creare una voce separata per la mappa di certificati.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_NAMES è un elenco di nomi dei certificati delimitato da virgole da associare a questa voce della mappa di certificati.
  • HOSTNAME è il nome host che vuoi associare a questa voce della mappa di certificati.

Terraform

Per creare una voce della mappa dei certificati, puoi utilizzare una google_certificate_manager_certificate_map_entry risorsa.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui a questa voce della mappa di certificati.
  • HOSTNAME è il nome host che vuoi associare a questa voce della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare con questa voce della mappa di certificati.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake: vedi Logica di selezione dei certificati.

Crea una voce della mappa di certificati principale

Puoi specificare un certificato principale che il bilanciatore del carico serve se il client non fornisce un nome host o ne fornisce uno che il bilanciatore del carico non riesce a associare a nessuna voce della mappa di certificati configurata.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_NAMES è un elenco delimitato da virgole di nomi dei certificati da associare a questa voce della mappa di certificati.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare a questa voce della mappa di certificati.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta la sezione Logica di selezione dei certificati.

Aggiorna una voce della mappa di certificati

Per aggiornare una voce della mappa dei certificati, completa i passaggi descritti in questa sezione. Puoi aggiorna una voce della mappa di certificati come segue:

  • Assegnare o annullare l'assegnazione di certificati
  • Modificare la descrizione
  • Modifica le etichette

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare con questa voce della mappa di certificati.
  • DESCRIPTION è una descrizione significativa per questa voce della mappa di certificati.
  • LABELS è un elenco di etichette applicate a questa voce della mappa dei certificati.

API

Aggiorna la voce della mappa dei certificati inviando una richiesta PATCH al metodo certificateMaps.certificateMapEntries.patch come segue:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che lo descrive della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare con questa voce della mappa di certificati.
  • DESCRIPTION è una descrizione significativa per questa voce della mappa di certificati.
  • LABEL_KEY è una chiave di etichetta applicata a questa voce della mappa dei certificati.
  • LABEL_VALUE è un valore dell'etichetta applicato a questa voce della mappa dei certificati.

Elenco delle voci della mappa dei certificati

Per elencare le voci della mappa di certificati attualmente configurate in una mappa di certificati di destinazione, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • FILTER è un'espressione che vincola la query a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato pubblicazione: --filter='state=ACTIVE'
    • Corrispondenza (impostata come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.

  • LIMIT è il numero massimo di risultati da restituire.

  • SORT_BY è un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; della in ordine decrescente, aggiungi ~ al campo desiderato.

API

Elenca le voci della mappa di certificati configurate all'interno di una determinata mappa di certificati inviando una richiesta LIST al metodo certificateMaps.certificateMapEntries.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • FILTER è un'espressione che limita i risultati restituiti a valori specifici.
  • PAGE_SIZE è il numero di risultati da restituire per pagina.
  • SORT_BY è un elenco di nomi di campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo desiderato il prefisso ~.

Visualizzare lo stato di una voce della mappa di certificati

Per visualizzare lo stato di una voce della mappa di certificati, completa i passaggi in questa .

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui a questa voce della mappa di certificati.

API

Visualizza lo stato della voce della mappa di certificati inviando una richiesta GET a certificateMaps.certificateMapEntries.get come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa di certificati di destinazione.

Elimina una voce della mappa di certificati

Per eliminare una voce della mappa dei certificati da una mappa dei certificati, completa i passaggi di questa sezione. Questa azione scollega i certificati associati alla voce della mappa di certificati dal proxy di destinazione.

L'eliminazione di una voce della mappa dei certificati non comporta l'eliminazione dei certificati associati. Per rimuovere questi certificati da Google Cloud, devi manualmente.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nella progetto Google Cloud di destinazione.

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui a questa voce della mappa di certificati.

API

Elimina una voce della mappa di certificati inviando una richiesta DELETE a certificateMaps.certificateMapEntries.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è collegata questa voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa di certificati di destinazione.

Passaggi successivi