Gestione delle mappe dei certificati

Una mappa di certificati fa riferimento a una o più voci al suo interno che assegnano certificati specifici a nomi host specifici. Questa pagina descrive come creare e gestire le mappe dei certificati.

Per ulteriori informazioni, consulta la sezione Mappe dei certificati.

Creare una mappa di certificati

Creando una mappa di certificati, fai riferimento alla voce mappa di certificati associata al tuo certificato.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Editor gestore certificati (roles/certificatemanager.editor)
  • Ruolo proprietario Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per creare una mappa dei certificati, utilizza il comando gcloud certificate-manager maps create:

gcloud certificate-manager maps create CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati.

Per creare una mappa dei certificati, invia una richiesta POST al metodo certificateMaps.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps?certificate_map_id=CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati.

Per creare una mappa dei certificati, puoi utilizzare una google_certificate_manager_certificate_map risorsa.

resource "google_certificate_manager_certificate_map" "default" {
  name        = "${local.name}-certmap1-${random_id.tf_prefix.hex}"
  description = "${local.domain} certificate map"
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Collega una mappa di certificati a un proxy

Dopo aver creato e configurato una mappa di certificati con voci della mappa di certificati, collegala al proxy di destinazione. Certificate Manager supporta sia i proxy HTTPS di destinazione sia i proxy SSL di destinazione con ambito globale. Per ulteriori informazioni sulle differenze tra questi tipi di proxy, consulta Utilizzare i proxy di destinazione.

Se colleghi un certificato TLS (SSL) al proxy di destinazione e colleghi anche i certificati tramite una mappa dei certificati, il proxy utilizza i certificati a cui fa riferimento la mappa dei certificati e ignora il certificato collegato direttamente.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Editor gestore certificati (roles/certificatemanager.editor)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per collegare la mappa dei certificati al proxy HTTPS di destinazione, utilizza il comando gcloud compute target-https-proxies update:

gcloud compute target-https-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Per allegare la mappa dei certificati al proxy SSL di destinazione, utilizza il comando gcloud compute target-ssl-proxies update:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --certificate-map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • PROXY_NAME: il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati contenente le voci che fanno riferimento ai certificati di destinazione.

Per collegare la mappa dei certificati al proxy HTTPS di destinazione, invia una richiesta POST al metodo targetHttpsProxies:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Per allegare la mappa dei certificati al proxy SSL di destinazione, invia una richiesta POST al metodo targetSslProxies:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "//certificatemanager.googleapis.com/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME",
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • PROXY_NAME: il nome del proxy di destinazione.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati contenente le voci che fanno riferimento ai certificati di destinazione.

Scollegare una mappa di certificati da un proxy

Prima di scollegare una mappa dei certificati da un proxy, tieni presente quanto segue:

  • Se eventuali certificati TLS (SSL) sono collegati direttamente al proxy, il disaccoppiamento della mappa dei certificati fa sì che il proxy li riprenda a utilizzare.

  • Se non sono collegati direttamente al proxy certificati TLS (SSL), la mappa dei certificati non può essere scollegata. Collega almeno un certificato TLS direttamente al proxy prima di scollegare la mappa di certificati.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Amministratore bilanciatore del carico Compute (roles/compute.loadBalancerAdmin)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per scollegare qualsiasi mappa dei certificati collegata dal proxy HTTPS di destinazione, utilizza il gcloud compute target-https-proxies update comando:

gcloud compute target-https-proxies update PROXY_NAME \
    --clear-certificate-map

Per scollegare qualsiasi mappa dei certificati collegata dal proxy SSL di destinazione, utilizza il gcloud compute target-ssl-proxies update comando:

gcloud compute target-ssl-proxies update PROXY_NAME \
    --clear-certificate-map

Sostituisci quanto segue:

  • PROXY_NAME: il nome del proxy di destinazione.

Per scollegare qualsiasi mappa dei certificati collegata dal proxy HTTPS di destinazione, invia una richiesta POST al metodo targetHttpsProxies:

POST /projects/PROJECT_ID/global/targetHttpsProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Per scollegare qualsiasi mappa dei certificati collegata dal proxy SSL di destinazione, invia una richiesta POST al metodo targetSslProxies:

POST /projects/PROJECT_ID/global/targetSslProxies/PROXY_NAME/setCertificateMap
{
  certificateMap: "",
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • PROXY_NAME: il nome del proxy di destinazione.

Aggiornare una mappa di certificati

Puoi aggiornare la descrizione e le etichette di una mappa dei certificati.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Editor gestore certificati (roles/certificatemanager.editor)
  • Ruolo proprietario Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per aggiornare una mappa dei certificati, utilizza il comando gcloud certificate-manager maps update:

gcloud certificate-manager maps update CERTIFICATE_MAP_NAME \
    --description="DESCRIPTION"
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati.
  • DESCRIPTION: la nuova descrizione per questa mappa del certificato.
  • LABELS: un elenco separato da virgole di etichette applicate a questa mappa dei certificati.

Per aggiornare la mappa dei certificati, invia una richiesta PATCH al metodo certificateMaps.patch:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME?updateMask=labels,description"
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati.
  • DESCRIPTION: la nuova descrizione per questa mappa del certificato.
  • LABEL_KEY: una chiave dell'etichetta applicata a questa mappa del certificato.
  • LABEL_VALUE: un'etichetta applicata a questa mappa del certificato.

Elenco delle mappe di certificati

Puoi elencare, filtrare e ordinare tutte le mappe di certificati configurate del progetto.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Visualizzatore gestore certificati (roles/certificatemanager.viewer)
  • Ruolo Editor gestore certificati (roles/certificatemanager.editor)
  • Ruolo proprietario Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per elencare le mappe di certificati, utilizza il comando gcloud certificate-manager maps list:

gcloud certificate-manager maps list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

Per elencare le mappe di certificati configurate, invia una richiesta LIST al metodo certificateMaps.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

Visualizzare i dettagli di una mappa di certificati

Puoi visualizzare i dettagli di una mappa dei certificati esistente, ad esempio la data e l'ora di creazione e di aggiornamento.

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo Visualizzatore gestore certificati (roles/certificatemanager.viewer)
  • Ruolo Editor gestore certificati (roles/certificatemanager.editor)
  • Ruolo proprietario Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per visualizzare lo stato di una mappa dei certificati, utilizza il comando gcloud certificate-manager maps describe:

gcloud certificate-manager maps describe CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati.

Per visualizzare i dettagli della mappa dei certificati, effettua una richiesta GET al metodo certificateMaps.get:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati.

Eliminare una mappa di certificati

Prima di eliminare una mappa dei certificati:

Per eseguire questa operazione, devi disporre di uno dei seguenti ruoli IAM nel progetto Google Cloud di destinazione.

  • Ruolo proprietario Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per eliminare una mappa dei certificati, utilizza il comando gcloud certificate-manager maps delete:

gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati.

Per eliminare la mappa dei certificati, invia una richiesta DELETE al metodo certificateMaps.delete:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati.

Passaggi successivi