Gestione delle mappe dei certificati

Questa pagina descrive come creare e gestire le mappe di certificati.

Per maggiori informazioni sulle mappe di certificati, consulta Come funziona Gestore certificati.

Per scoprire come eseguire il deployment di un certificato con Gestore certificati, consulta Panoramica del deployment.

Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una mappa di certificati

Per creare una mappa di certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è un nome univoco che descrive questa mappa di certificati.

Terraform

Per creare una mappa di certificati, puoi utilizzare una risorsa google_certificate_manager_certificate_map.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea la mappa di certificati effettuando una richiesta POST al metodo certificateMaps.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è un nome univoco che descrive questa mappa di certificati.

Collega una mappa di certificati a un proxy

Dopo aver creato una mappa di certificati e completata con le voci della mappa di certificati correttamente configurate, devi associarla al proxy desiderato. Gestore certificati supporta i proxy HTTPS di destinazione e i proxy SSL di destinazione. Per ulteriori informazioni sulle differenze tra questi tipi di proxy, consulta Utilizzo dei proxy di destinazione.

Se esistono certificati TLS (SSL) esistenti collegati direttamente al proxy, il proxy dà la preferenza ai certificati a cui fa riferimento la mappa di certificati rispetto ai certificati TLS (SSL) direttamente collegati.

Per completare questa attività, devi disporre del ruolo Editor nel progetto Google Cloud di destinazione.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza target-https-proxies.
    • Per i proxy SSL di destinazione, utilizza target-ssl-proxies.
  • PROXY_NAME è il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati contenente una o più voci di mappa che fanno riferimento ai certificati desiderati.

API

Collega la mappa di certificati effettuando una richiesta POST al metodo targetHttpsProxies o targetSslProxies come segue:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza targetHttpsProxies.
    • Per i proxy SSL di destinazione, utilizza targetSslProxies.
  • PROXY_NAME è il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati contenente voci di una mappa di certificati che fanno riferimento ai certificati di destinazione.

Scollegare una mappa di certificati da un proxy

Per scollegare una mappa di certificati da un proxy, completa i passaggi descritti in questa sezione.

Tieni presente che:

  • Se erano presenti certificati TLS (SSL) collegati direttamente al proxy, scollegando la mappa di certificati, il proxy riprenderà a utilizzare i certificati TLS (SSL) collegati direttamente.
  • Se non esistono certificati TLS (SSL) collegati direttamente al proxy, la mappa di certificati non può essere scollegata dal proxy. Devi collegare almeno un certificato TLS (SSL) direttamente al proxy prima di poter scollegare la mappa di certificati.

Per completare questa attività, devi disporre del ruolo Amministratore bilanciatore del carico Compute nel progetto Google Cloud di destinazione.

gcloud 

gcloud compute PROXY_TYPE update PROXY_NAME \
    --clear-certificate-map

Sostituisci quanto segue:

  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza target-https-proxies.
    • Per i proxy SSL di destinazione, utilizza target-ssl-proxies.
  • PROXY_NAME è il nome del proxy di destinazione.

API

Scollega la mappa di certificati effettuando una richiesta POST al metodo targetHttpsProxies o targetSslProxies con un valore certificateMap vuoto, come segue:

POST /projects/PROJECT_ID/global/PROXY_TYPE/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • PROXY_TYPE è il tipo di proxy di destinazione. I tipi supportati sono:
    • Per i proxy HTTP di destinazione, utilizza targetHttpsProxies.
    • Per i proxy SSL di destinazione, utilizza targetSslProxies.
  • PROXY_NAME è il nome del proxy di destinazione.

Aggiorna una mappa di certificati

Per aggiornare la descrizione di una mappa di certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • DESCRIPTION è la nuova descrizione per questa mappa di certificati.
  • LABELS è un elenco separato da virgole di etichette applicate a questa mappa di certificati.

API

Aggiorna la mappa di certificati effettuando una richiesta PATCH al metodo certificateMaps.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
}

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.
  • DESCRIPTION è la nuova descrizione per questa mappa di certificati.
  • LABEL_KEY è una chiave di etichetta applicata a questa mappa di certificati.
  • LABEL_VALUE è un valore di etichetta applicato a questa mappa di certificati.

Elenca mappe di certificati

Per elencare le mappe di certificati attualmente configurate, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • FILTER è un'espressione che vincola i risultati restituiti a valori specifici. Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Etichette e data di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtro che puoi utilizzare con Gestore certificati, vedi Ordinamento e filtro dei risultati degli elenchi nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.

  • LIMIT è il numero massimo di risultati da restituire.

  • SORT_BY è un elenco delimitato da virgole di campi name in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo desiderato.

API

Elenca le mappe di certificati configurate effettuando una richiesta LIST al metodo certificateMaps.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • FILTER è un'espressione che vincola i risultati restituiti a valori specifici.
  • PAGE_SIZE è il numero di risultati da restituire per ogni pagina.
  • SORT_BY è un elenco delimitato da virgole di nomi di campi in base al quale vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, aggiungi il prefisso ~ al campo desiderato.

Visualizzare lo stato di una mappa di certificati

Per visualizzare lo stato di una mappa di certificati, completa i passaggi descritti in questa sezione.

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

  • Visualizzatore gestore certificati
  • Editor gestore certificati
  • Proprietario gestore certificati

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

API

Visualizza lo stato della mappa di certificati effettuando una richiesta GET al metodo certificateMaps.get come segue:

  GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

Eliminare una mappa di certificati

Per eliminare una mappa di certificati, completa i passaggi descritti in questa sezione. Prima di eliminare una mappa di certificati, devi scollegarla dal proxy di destinazione.

Se vuoi eliminare delle voci della mappa di certificati, devi eliminarle manualmente prima di poterla eliminare; in caso contrario, l'eliminazione della mappa non andrà a buon fine.

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

gcloud 

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

API

Elimina la mappa di certificati effettuando una richiesta DELETE al metodo certificateMaps.delete come segue:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID è l'ID del progetto Google Cloud di destinazione.
  • CERTIFICATE_MAP_NAME è il nome della mappa di certificati di destinazione.

Passaggi successivi