Gestione delle mappe dei certificati

In questa pagina viene descritto come creare e gestire le mappe di certificati.

Per saperne di più sulle mappe di certificati, consulta Come funziona Certificate Manager.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta le Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Creare una mappa di certificati

Per creare una mappa dei certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è un nome univoco che descrive questo certificato mappa.

Terraform

Per creare una mappa dei certificati, puoi utilizzare una risorsa google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea la mappa di certificati inviando una richiesta POST a certificateMaps.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è un nome univoco che descrive questa mappa di certificati.

Collega una mappa di certificati a un proxy

Dopo aver creato una mappa di certificati e averla completata con una mappa configurata correttamente voci della mappa dei certificati, devi collegarlo al proxy desiderato. Gestore certificati supporta come proxy HTTPS e SSL target. Per ulteriori informazioni sul sulle differenze tra questi tipi di proxy, consulta Utilizzo dei proxy di destinazione.

Se esistono certificati TLS (SSL) esistenti collegati direttamente proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati tramite i certificati TLS (SSL) direttamente collegati.

Per completare questa attività, devi disporre del ruolo Editor per il progetto Google Cloud di destinazione.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza target-https-proxies.
    • Per i proxy SSL di destinazione, utilizza target-ssl-proxies.
  • PROXY_NAME è il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati contenente una o più voci della mappa di certificati che fanno riferimento certificati.

API

Collega la mappa di certificati effettuando una richiesta POST a targetHttpsProxies o targetSslProxies nel seguente modo:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza targetHttpsProxies.
    • Per i proxy SSL di destinazione, usa targetSslProxies.
  • PROXY_NAME è il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati contenente voci di mappa di certificati che fanno riferimento ai certificati di destinazione.

Scollega una mappa di certificati da un proxy

Per scollegare una mappa dei certificati da un proxy, completa i passaggi descritti in questa sezione.

Tieni presente che:

  • Se esistono certificati TLS (SSL) collegati direttamente al proxy, lo scollegamento della mappa di certificati fa sì che il proxy riprenda a utilizzarli direttamente certificati TLS (SSL) allegati.
  • Se non sono presenti certificati TLS (SSL) collegati direttamente al proxy, la mappa dei certificati non può essere scollegata dal proxy. Prima di poter scollegare la mappa dei certificati, devi collegare almeno un certificato TLS (SSL) direttamente al proxy.

Per completare questa attività, devi disporre del ruolo Amministratore bilanciatore del carico Compute nel progetto Google Cloud di destinazione.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Sostituisci quanto segue:

  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza target-https-proxies.
    • Per i proxy SSL di destinazione, utilizza target-ssl-proxies.
  • PROXY_NAME è il nome del proxy di destinazione.

API

Scollega la mappa dei certificati inviando una richiesta POST al metodo targetHttpsProxies o targetSslProxies con un valore certificateMap vuoto come segue:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza targetHttpsProxies.
    • Per i proxy SSL di destinazione, usa targetSslProxies.
  • PROXY_NAME è il nome del proxy di destinazione.

Aggiorna una mappa di certificati

Per aggiornare la descrizione di una mappa di certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • DESCRIPTION è la nuova descrizione per questa mappa di certificati.
  • LABELS è un elenco di etichette separate da virgole applicate a questa mappa di certificati.

API

Aggiorna la mappa dei certificati inviando una richiesta PATCH al metodo certificateMaps.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • DESCRIPTION è la nuova descrizione di questa mappa di certificati.
  • LABEL_KEY è una chiave di etichetta applicata a questa mappa dei certificati.
  • LABEL_VALUE è un valore dell'etichetta applicato a questa mappa dei certificati.

Elenca mappe di certificati

Per elencare le mappe di certificati attualmente configurate, completa i passaggi in questo .

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • FILTER è un'espressione che limita i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati per i seguenti criteri:

    • Etichette e data/ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.

  • LIMIT è il numero massimo di risultati da restituire.

  • SORT_BY è un elenco di name campi delimitato da virgole in base al quale i risultati restituiti vengono ordinati. L'ordinamento predefinito è crescente. Per un ordinamento decrescente, anteponi al campo desiderato il prefisso ~.

API

Elenca le mappe di certificati configurate effettuando una richiesta LIST a certificateMaps.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • FILTER è un'espressione che limita i risultati restituiti a valori specifici.
  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.
  • SORT_BY è un elenco separato da virgole di nomi di campi in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; della in ordine decrescente, fai precedere il campo desiderato con ~.

Visualizzare lo stato di una mappa di certificati

Per visualizzare lo stato di una mappa di certificati, completa i passaggi di questa sezione.

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Certificate Manager Viewer
  • Certificate Manager Editor
  • Certificate Manager Owner

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

API

Visualizza lo stato della mappa dei certificati inviando una richiesta GET al metodo certificateMaps.get come segue:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

Eliminare una mappa di certificati

Per eliminare una mappa dei certificati, completa i passaggi descritti in questa sezione. Prima dell'eliminazione mappa di certificati, devi prima scollegarlo dal relativo proxy di destinazione.

Se esistono voci della mappa dei certificati assegnate alla mappa che vuoi eliminare, devi eliminarle manualmente prima di poter eliminare la mappa; in caso contrario, l'eliminazione della mappa non andrà a buon fine.

Per completare questa attività, devi disporre del ruolo Proprietario gestore dei certificati nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

API

Elimina la mappa di certificati inviando una richiesta DELETE a certificateMaps.delete come segue:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

Passaggi successivi