Gestione delle voci delle mappe dei certificati

Una voce mappa di certificati associa un certificato a un nome host di destinazione e a una mappa di certificati di destinazione. Questa pagina descrive come creare e gestire le voci della mappa dei certificati.

Per ulteriori informazioni, consulta la sezione Voce della mappa dei certificati.

Creare una voce della mappa di certificati

Puoi creare una voce della mappa dei certificati e associarvi un massimo di quattro certificati. Ti consigliamo di utilizzare un algoritmo di chiave diverso per ogni certificato quando specifichi più certificati per un nome host. Ad esempio, puoi utilizzare ECDSA per un certificato e RSA per un altro. L'associazione di più certificati a una singola voce della mappa di certificati è utile anche per la migrazione dei certificati autogestiti a quelli gestiti da Google.

Per associare più certificati a una voce della mappa di certificati, fornisci un elenco dei nomi dei certificati separati da virgole. Per ogni sottodominio, devi creare una voce distinta della mappa dei certificati.

gcloud

Per creare una voce della mappa dei certificati, utilizza il comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_NAMES: un elenco separato da virgole dei nomi dei certificati da associare a questa voce della mappa di certificati.
  • HOSTNAME: il nome host da associare alla voce della mappa dei certificati.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • HOSTNAME: il nome host da associare alla voce della mappa dei certificati.
  • CERTIFICATE_NAME1: il nome del primo certificato che vuoi associare a questa voce della mappa di certificati.
  • CERTIFICATE_NAME2: il nome del secondo certificato che vuoi associare a questa voce della mappa di certificati.

Terraform

Per creare una voce della mappa dei certificati, puoi utilizzare una google_certificate_manager_certificate_map_entry risorsa.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta la Logica di selezione dei certificati.

Crea una voce della mappa di certificati principale

Puoi specificare un certificato principale da inviare dal bilanciatore del carico se il client non fornisce un nome host o se il bilanciatore del carico non riesce ad associare il nome host a una voce della mappa di certificati configurata.

gcloud

Per creare una voce della mappa dei certificati principali, utilizza il comando gcloud certificate-manager maps entries create con il flag set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_NAMES: un elenco separato da virgole dei nomi dei certificati da associare a questa voce della mappa di certificati.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_NAME1: il nome del primo certificato che vuoi associare alla voce della mappa di certificati principale.
  • CERTIFICATE_NAME2: il nome del secondo certificato che vuoi associare alla voce della mappa di certificati principale.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta la Logica di selezione dei certificati.

Aggiornare una voce della mappa di certificati

Quando aggiorni una voce della mappa di certificati, puoi:

  • Assegnare o annullare l'assegnazione di certificati
  • Modificare la descrizione
  • Modifica le etichette

gcloud

Per aggiornare una voce della mappa dei certificati, utilizza il gcloud certificate-manager maps entries update comando:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_NAME: il nome del certificato da associare alla voce della mappa di certificati.
  • DESCRIPTION: una descrizione significativa per questa voce della mappa dei certificati.
  • LABELS: un elenco di etichette applicate a questa voce della mappa del certificato.

API

Aggiorna la voce della mappa dei certificati inviando una richiesta PATCH al metodo certificateMaps.certificateMapEntries.patch come segue:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione significativa per questa voce della mappa dei certificati.
  • LABEL_KEY: una chiave dell'etichetta applicata a questa voce della mappa del certificato.
  • LABEL_VALUE: un valore dell'etichetta applicato a questa voce della mappa dei certificati.

Elenca le voci della mappa dei certificati

Puoi elencare, filtrare e ordinare tutte le voci della mappa dei certificati configurate del progetto.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato pubblicazione: --filter='state=ACTIVE'
    • Confrontatore (impostato come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

API

Elenca le voci della mappa di certificati configurate all'interno di una determinata mappa di certificati inviando una richiesta LIST al metodo certificateMaps.certificateMapEntries.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati di destinazione.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato pubblicazione: --filter='state=ACTIVE'
    • Confrontatore (impostato come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

Visualizzare lo stato di una voce della mappa di certificati

Puoi visualizzare lo stato di una voce della mappa dei certificati.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.

API

Visualizza lo stato della voce della mappa dei certificati inviando una richiesta GET al metodo certificateMaps.certificateMapEntries.get come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.

Eliminare una voce della mappa di certificati

L'eliminazione di una voce della mappa di certificati scollega i certificati associati dalla voce della mappa di certificati dal proxy di destinazione. L'eliminazione di una voce della mappa dei certificati non comporta l'eliminazione dei certificati associati da Google Cloud. Devi eliminare manualmente questi certificati.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.

API

Elimina una voce della mappa dei certificati inviando una richiesta DELETE al metodo certificateMaps.certificateMapEntries.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è associata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa di certificati.

Passaggi successivi