Gestione delle voci delle mappe dei certificati

Questa sezione descrive come creare e gestire le voci della mappa di certificati. Una voce di mappa dei certificati associa un certificato a un nome host di destinazione e a una mappa dei certificati di destinazione.

Per ulteriori informazioni sulle voci della mappa di certificati, consulta Come funziona Gestore certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una voce della mappa di certificati

Per creare una voce della mappa di certificati e associare uno o più certificati, completa i passaggi descritti in questa sezione. Devi specificare almeno un certificato all'interno di una voce della mappa di certificati. Se vuoi specificare più di un certificato per un determinato nome host, puoi farlo solo se ogni certificato utilizza una suite di crittografia diversa, ad esempio ECDSA ed RSA.

Per associare più certificati a una voce della mappa di certificati, fornisci un elenco delimitato da virgole di nomi di certificati da associare alla voce. Puoi associare un massimo di quattro certificati a una singola voce della mappa di certificati. Per ogni sottodominio, devi creare una voce separata della mappa di certificati.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_NAMES è un elenco delimitato da virgole dei nomi dei certificati da associare a questa voce della mappa di certificati.
  • HOSTNAME è il nome host da associare alla voce della mappa di certificati.

Terraform

Per creare una voce della mappa di certificati, puoi utilizzare una risorsa google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea la voce della mappa di certificati effettuando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • HOSTNAME è il nome host da associare alla voce della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare a questa voce della mappa di certificati.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta Logica di selezione dei certificati.

Crea una voce della mappa di certificati principale

Puoi specificare un certificato principale gestito dal bilanciatore del carico se il client non fornisce un nome host o un nome host che il bilanciatore del carico non può corrispondere a nessuna voce configurata della mappa dei certificati.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_NAMES è un elenco delimitato da virgole dei nomi dei certificati da associare a questa voce della mappa di certificati.

API

Crea la voce della mappa di certificati effettuando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare a questa voce della mappa di certificati.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta Logica di selezione dei certificati.

Aggiorna una voce della mappa di certificati

Per aggiornare una voce della mappa di certificati, completa i passaggi descritti in questa sezione. Puoi aggiornare una voce di una mappa di certificati come segue:

  • Assegnare certificati o annullarne l'assegnazione
  • Modifica la descrizione
  • Modificare le etichette

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare a questa voce della mappa di certificati.
  • DESCRIPTION è una descrizione significativa per questa voce della mappa di certificati.
  • LABELS è un elenco di etichette applicate a questa voce della mappa di certificati.

API

Aggiorna la voce della mappa di certificati effettuando una richiesta PATCH al metodo certificateMaps.certificateMapEntries.patch come segue:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_MAP_ENTRY_NAME è un nome univoco che descrive questa voce della mappa di certificati.
  • CERTIFICATE_NAME è il nome del certificato che vuoi associare a questa voce della mappa di certificati.
  • DESCRIPTION è una descrizione significativa per questa voce della mappa di certificati.
  • LABEL_KEY è una chiave di etichetta applicata a questa voce della mappa di certificati.
  • LABEL_VALUE è un valore di etichetta applicato a questa voce della mappa di certificati.

Elenca le voci della mappa di certificati

Per elencare le voci della mappa di certificati attualmente configurate all'interno di una mappa di certificati di destinazione, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

  • FILTER è un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato di pubblicazione: --filter='state=ACTIVE'
    • Matcher (impostato come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtro che puoi utilizzare con Gestore certificati, vedi Ordinamento e filtro dei risultati degli elenchi nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.

  • LIMIT è il numero massimo di risultati da restituire.

  • SORT_BY è un elenco delimitato da virgole di campi name in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo desiderato.

API

Elenca le voci della mappa di certificati configurate all'interno di una determinata mappa di certificati effettuando una richiesta LIST al metodo certificateMaps.certificateMapEntries.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • FILTER è un'espressione che vincola i risultati restituiti a valori specifici.
  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.
  • SORT_BY è un elenco delimitato da virgole di nomi di campi in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo desiderato.

Visualizzare lo stato di una voce della mappa di certificati

Per visualizzare lo stato di una voce della mappa di certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.

API

Visualizza lo stato della voce della mappa di certificati effettuando una richiesta GET al metodo certificateMaps.certificateMapEntries.get come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.

Eliminare una voce della mappa di certificati

Per eliminare una voce di una mappa di certificati da una mappa, completa i passaggi descritti in questa sezione. Questa azione scollega i certificati associati alla voce della mappa di certificati dal proxy di destinazione.

L'eliminazione di una voce della mappa di certificati non elimina i certificati associati. Per rimuovere questi certificati da Google Cloud, devi eliminarli manualmente.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
   --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.

API

Elimina una voce di una mappa di certificati effettuando una richiesta DELETE al metodo certificateMaps.certificateMapEntries.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati a cui è allegata la voce di questa mappa.
  • CERTIFICATE_MAP_ENTRY_NAME è il nome della voce della mappa dei certificati di destinazione.

Passaggi successivi