Gestisci configurazioni di attendibilità

Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare in scenari di autenticazione TLS reciproca (mTLS).

Per maggiori informazioni, consulta le seguenti risorse:

• Per scoprire di più sulle configurazioni di attendibilità, sui trust anchor e sui certificati intermedi, consulta Configurazioni di attendibilità in Come funziona Gestione certificati.

• Per saperne di più su mTLS, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.

• Per utilizzare una configurazione di attendibilità per configurare mTLS sul proxy di destinazione, consulta una delle seguenti pagine nella documentazione di Cloud Load Balancing:

  • Configurare il protocollo TLS reciproco con i certificati firmati
  • Configurare il protocollo TLS reciproca con una CA privata

Le istruzioni gcloud in questa pagina presuppongono che tu stia utilizzando Cloud Shell o un altro ambiente in cui è installato bash. Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una configurazione di attendibilità

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per creare una configurazione di attendibilità, segui questi passaggi:

1. Crea un file YAML di configurazione di attendibilità che specifichi i parametri di configurazione dell'attendibilità. Il file ha il seguente formato:

   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.
   • CERTIFICATE_PEM_PAYLOAD: payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati che vengono aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

     Puoi specificare più anchor trust e certificati intermedi utilizzando più istanze del campo pemCertificate, un certificato per istanza, nelle rispettive sezioni della specifica delle risorse di configurazione dell'attendibilità.

     Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato che può essere incapsulato all'interno della configurazione di attendibilità in modo che sia sempre considerato valido. Per incapsulare più certificati in una lista consentita all'interno della configurazione di attendibilità, utilizza più istanze del campo pemCertificate, un certificato per istanza. Non è necessario un archivio di attendibilità quando utilizzi i certificati che vengono aggiunti a una lista consentita. Un certificato aggiunto a una lista consentita è sempre considerato valido, purché sia analizzabile, venga stabilita una prova del possesso di una chiave privata e vengano soddisfatti i vincoli per il campo SAN del certificato. I certificati scaduti sono considerati validi anche quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato con codifica PEM, consulta RFC 7468.

2. Importa il file di configurazione dell'attendibilità in Gestore certificati:

   gcloud

   Usa il comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.
   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • TRUST_CONFIG_FILE: il percorso e il nome completi del file YAML della configurazione di attendibilità che hai creato nel passaggio 1.
   • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

   API

   Invia una richiesta POST al metodo trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Sostituisci quanto segue:

   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • LOCATION: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.
   • TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.
   • DESCRIPTION: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
   • CERTIFICATE_PEM_PAYLOAD: payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
   • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Aggiorna una configurazione di attendibilità

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per aggiornare una configurazione di attendibilità, segui questi passaggi:

1. Crea un file YAML di configurazione di attendibilità aggiornato che specifica i nuovi parametri di configurazione dell'attendibilità. Il file ha il seguente formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione dell'attendibilità.
   • CERTIFICATE_PEM_PAYLOAD: payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati che vengono aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

2. Importa il nuovo file di configurazione dell'attendibilità in Gestore certificati utilizzando il nome della risorsa esistente:

   gcloud

   Usa il comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità di destinazione.
   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • TRUST_CONFIG_FILE: il percorso e il nome completi del file di configurazione dell'attendibilità aggiornato.
   • LOCATION: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

   API

   Invia una richiesta PATCH al metodo trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Sostituisci quanto segue:

   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • LOCATION: l'attributo località specifica la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.
   • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità di destinazione.
   • DESCRIPTION: una descrizione significativa per questa risorsa di configurazione di attendibilità. La descrizione è facoltativa.
   • CERTIFICATE_PEM_PAYLOAD: payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione della configurazione dell'attendibilità. Questo valore è facoltativo.
   • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Elenca configurazioni di attendibilità

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

• Visualizzatore gestore certificati (roles/certificatemanager.viewer)
• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per elencare le configurazioni di attendibilità configurate, completa i seguenti passaggi.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Visualizza configurazioni di attendibilità

Per completare questa attività, devi avere uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

• Visualizzatore gestore certificati (roles/certificatemanager.viewer)
• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per visualizzare una configurazione di attendibilità, completa i seguenti passaggi.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Elimina una configurazione di attendibilità

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati (roles/certificatemanager.owner) nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per eliminare una configurazione di attendibilità, completa i seguenti passaggi.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Passaggi successivi

• Gestire i certificati
• Gestisci le mappe di certificati
• Gestire le voci della mappa di certificati
• Gestisci le autorizzazioni DNS
• Gestire le configurazioni di emissione dei certificati