Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare in scenari di autenticazione TLS reciproca (mTLS).
Per maggiori informazioni, consulta le seguenti risorse:
Per scoprire di più su configurazioni di attendibilità, trust anchor e certificati intermedi, consulta Configurazioni di attendibilità in Come funziona Gestore certificati.
Per saperne di più su mTLS, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.
Per utilizzare una configurazione di attendibilità per configurare mTLS sul proxy di destinazione, consulta una delle pagine seguenti nella documentazione di Cloud Load Balancing:
Le istruzioni gcloud
in questa pagina presuppongono che utilizzi
Cloud Shell o un altro ambiente con bash
installato.
Per ulteriori informazioni sui comandi gcloud
utilizzati in questa pagina, consulta il riferimento per l'interfaccia a riga di comando di Certificate Manager.
Crea una configurazione di attendibilità
Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Editor gestore certificati (
roles/certificatemanager.editor
) - Proprietario gestore certificati (
roles/certificatemanager.owner
)
Per ulteriori informazioni, vedi Ruoli e autorizzazioni.
Per creare una configurazione di attendibilità, completa i seguenti passaggi:
Crea un file YAML della configurazione dell'attendibilità che specifichi i parametri di configurazione dell'attendibilità. Il file ha il seguente formato:
trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Sostituisci quanto segue:
TRUST_CONFIG_ID
: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.CERTIFICATE_PEM_PAYLOAD
: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.INTER_CERT_PEM_PAYLOAD
: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.ALLOWLISTED_CERT1
eALLOWLISTED_CERT2
: i certificati aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.Puoi specificare più trust anchor e certificati intermedi utilizzando più istanze del campo
pemCertificate
, un certificato per istanza, nelle rispettive sezioni della specifica delle risorse di configurazione dell'attendibilità.Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato che può essere incapsulato all'interno della configurazione dell'attendibilità in modo che sia sempre considerato valido. Per incapsulare più certificati in una lista consentita all'interno della configurazione di attendibilità, utilizza più istanze del campo
pemCertificate
, un certificato per istanza. Non è necessario un archivio di attendibilità quando utilizzi i certificati aggiunti a una lista consentita. Un certificato aggiunto a una lista consentita è sempre considerato valido, purché sia analizzabile, sia stata stabilita la prova del possesso della chiave privata e vengano soddisfatti i vincoli sul campo SAN del certificato. Anche i certificati scaduti vengono considerati validi quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato con codifica PEM, consulta RFC 7468.
Importa il file di configurazione dell'attendibilità in Gestore certificati:
gcloud
Usa il comando
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Sostituisci quanto segue:
TRUST_CONFIG_ID
: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.TRUST_CONFIG_FILE
: il percorso completo e il nome del file YAML della configurazione dell'attendibilità che hai creato nel passaggio 1.LOCATION
: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
API
Effettua una richiesta
POST
al metodotrustConfigs.create
:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.TRUST_CONFIG_ID
: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.DESCRIPTION
: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.CERTIFICATE_PEM_PAYLOAD
: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.INTER_CERT_PEM_PAYLOAD
: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.ALLOWLISTED_CERT
: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
Aggiorna una configurazione di attendibilità
Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Editor gestore certificati (
roles/certificatemanager.editor
) - Proprietario gestore certificati (
roles/certificatemanager.owner
)
Per maggiori informazioni, consulta Ruoli e autorizzazioni.
Per aggiornare una configurazione di attendibilità, completa i seguenti passaggi:
Creare un file YAML della configurazione dell'attendibilità aggiornato che specifichi i nuovi parametri di configurazione dell'attendibilità. Il file ha il seguente formato:
name: "TRUST_CONFIG_ID" trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Sostituisci quanto segue:
TRUST_CONFIG_ID
: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.CERTIFICATE_PEM_PAYLOAD
: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.INTER_CERT_PEM_PAYLOAD
: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.ALLOWLISTED_CERT1
eALLOWLISTED_CERT2
: i certificati aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
Importa il nuovo file di configurazione dell'attendibilità in Gestore certificati in base al nome della risorsa di configurazione dell'attendibilità esistente:
gcloud
Usa il comando
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Sostituisci quanto segue:
TRUST_CONFIG_ID
: l'ID della risorsa di configurazione dell'attendibilità di destinazione.PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.TRUST_CONFIG_FILE
: il percorso completo e il nome del file di configurazione dell'attendibilità aggiornato.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
API
Effettua una richiesta
PATCH
al metodotrustConfigs.update
:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.TRUST_CONFIG_ID
: l'ID della risorsa di configurazione dell'attendibilità di destinazione.DESCRIPTION
: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. La descrizione è facoltativa.CERTIFICATE_PEM_PAYLOAD
: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.INTER_CERT_PEM_PAYLOAD
: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione della configurazione dell'attendibilità. Questo valore è facoltativo.ALLOWLISTED_CERT
: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
Elenca configurazioni di attendibilità
Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Visualizzatore Gestore certificati (
roles/certificatemanager.viewer
) - Editor gestore certificati (
roles/certificatemanager.editor
) - Proprietario gestore certificati (
roles/certificatemanager.owner
)
Per maggiori informazioni, consulta Ruoli e autorizzazioni.
Per elencare le configurazioni dell'attendibilità configurate, completa i seguenti passaggi.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Fai clic sulla scheda Configurazioni di attendibilità.
La scheda mostra un elenco delle risorse di configurazione dell'attendibilità configurate.
gcloud
Usa il comando gcloud certificate-manager trust-configs list
:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Sostituisci quanto segue:
FILTER
: un'espressione che vincola i risultati restituiti a valori specifici.Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
- Etichette e data e ora di creazione:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtro da utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati dell'elenco nella documentazione di Cloud Key Management Service.
- Etichette e data e ora di creazione:
PAGE_SIZE
: il numero di risultati da restituire per pagina.LIMIT
: il numero massimo di risultati da restituire.SORT_BY
: un elenco di campiname
delimitato da virgole in base al quale vengono ordinati i risultati restituiti.L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, aggiungi una tilde (
~
) al campo scelto.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
API
Effettua una richiesta GET
al metodo trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.FILTER
: un'espressione che vincola i risultati restituiti a valori specifici.PAGE_SIZE
: il numero di risultati da restituire per pagina.SORT_BY
: un elenco di nomi di campi delimitato da virgole in base al quale vengono ordinati i risultati restituiti.L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, aggiungi una tilde (
~
) al campo selezionato.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
Visualizza configurazioni di attendibilità
Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:
- Visualizzatore Gestore certificati (
roles/certificatemanager.viewer
) - Editor gestore certificati (
roles/certificatemanager.editor
) - Proprietario gestore certificati (
roles/certificatemanager.owner
)
Per maggiori informazioni, consulta Ruoli e autorizzazioni.
Per visualizzare una configurazione di attendibilità, completa i seguenti passaggi.
Console
Nella console Google Cloud, vai alla pagina Gestore certificati.
Fai clic sulla scheda Configurazioni di attendibilità. La scheda mostra un elenco di risorse di configurazione dell'attendibilità configurate.
Seleziona la risorsa della configurazione dell'attendibilità per visualizzarne i dettagli.
La pagina Dettagli configurazione di attendibilità mostra informazioni dettagliate sulla configurazione dell'attendibilità selezionata.
gcloud
Usa il comando gcloud certificate-manager trust-configs describe
:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Sostituisci quanto segue:
TRUST_CONFIG_ID
: l'ID della configurazione dell'attendibilità di destinazione.LOCATION
: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
API
Effettua una richiesta GET
al metodo trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.TRUST_CONFIG_ID
: l'ID della configurazione dell'attendibilità di destinazione.LOCATION
: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
Elimina una configurazione dell'attendibilità
Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati (roles/certificatemanager.owner
) nel progetto Google Cloud di destinazione.
Per maggiori informazioni, consulta Ruoli e autorizzazioni.
Per eliminare una configurazione di attendibilità, completa i seguenti passaggi.
gcloud
Usa il comando gcloud certificate-manager trust-configs delete
:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Sostituisci quanto segue:
TRUST_CONFIG_ID
: l'ID della configurazione dell'attendibilità di destinazione.LOCATION
: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.
API
Effettua una richiesta DELETE
al metodo trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto Google Cloud di destinazione.LOCATION
: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita èglobal
.TRUST_CONFIG_ID
: l'ID della configurazione dell'attendibilità di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestire le mappe di certificati
- Gestire le voci della mappa di certificati
- Gestisci autorizzazioni DNS
- Gestire le configurazioni di emissione dei certificati