Gestisci configurazioni di attendibilità

Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare in Scenari di autenticazione TLS (mTLS).

Per maggiori informazioni, consulta le seguenti risorse:

• Per scoprire di più su configurazioni di attendibilità, trust anchor e e certificati, consulta Configurazioni di attendibilità. in Come funziona Gestore certificati.

• Per scoprire di più su mTLS, consulta Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.

• Per utilizzare una configurazione di attendibilità per configurare mTLS sul proxy di destinazione, consulta uno dei pagine seguenti nella documentazione di Cloud Load Balancing:

  • Configura TLS reciproco con certificati firmati
  • Configura TLS reciprocamente con una CA privata

Le istruzioni per gcloud in questa pagina presuppongono che tu stia utilizzando Cloud Shell o un altro ambiente con bash installato. Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta le Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una configurazione di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per creare una configurazione di attendibilità, completa i seguenti passaggi:

1. Crea un file YAML della configurazione dell'attendibilità che specifichi i parametri di configurazione dell'attendibilità. Il file ha il seguente formato:

   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che lo identifica la risorsa di configurazione dell'attendibilità.
   • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da usare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il PEM completo payload per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità risorsa. Questo valore è facoltativo.

   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a un lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

     Puoi specificare più trust anchor e certificati intermedi utilizzando utilizzando più istanze del campo pemCertificate, un certificato per istanza, nelle rispettive sezioni della risorsa di configurazione dell'attendibilità la specifica del container.

     Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato può essere incapsulato all'interno della configurazione dell'attendibilità in modo che venga sempre considerato valida. Per incapsulare più certificati in una lista consentita all'interno del configurazione di attendibilità, usa più istanze del campo pemCertificate, una o certificato per istanza. Non è necessario un archivio attendibilità durante l'utilizzo di certificati aggiunti a una lista consentita. Un certificato che viene aggiunto in una lista consentita è sempre considerato valido purché il certificato sia analizzabile, viene stabilita la prova di possesso di una chiave privata e i vincoli nel campo SAN del certificato. Anche i certificati scaduti considerati validi quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato con codifica PEM, vedi RFC 7468.

2. Importa il file di configurazione dell'attendibilità in Gestore certificati:

   gcloud

   Usa il comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che lo identifica la risorsa di configurazione dell'attendibilità.
   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • TRUST_CONFIG_FILE: il percorso completo e il nome del del file YAML di configurazione dell'attendibilità che hai creato nel passaggio 1.
   • LOCATION: la regione in cui la risorsa di configurazione dell'attendibilità viene archiviato. La località predefinita è global.

   API

   Effettua una richiesta POST al metodo trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Sostituisci quanto segue:

   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • LOCATION: l'attributo location specifica regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.
   • TRUST_CONFIG_ID: un ID univoco che lo identifica la risorsa di configurazione dell'attendibilità.
   • DESCRIPTION: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
   • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il PEM completo payload per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità risorsa. Questo valore è facoltativo.
   • ALLOWLISTED_CERT: il certificato che viene aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Aggiorna una configurazione di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per aggiornare una configurazione di attendibilità, completa i seguenti passaggi:

1. Crea un file YAML della configurazione dell'attendibilità aggiornato che specifichi il nuovo trust di configurazione. Il file ha il seguente formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: un ID univoco che lo identifica la risorsa di configurazione dell'attendibilità.
   • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il PEM completo payload per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità risorsa. Questo valore è facoltativo.
   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a un lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

2. Importa il nuovo file di configurazione dell'attendibilità in Gestione certificati rispetto al nome della risorsa di configurazione dell'attendibilità esistente:

   gcloud

   Usa il comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Sostituisci quanto segue:

   • TRUST_CONFIG_ID: l'ID del trust di destinazione di configurazione della risorsa.
   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • TRUST_CONFIG_FILE: il percorso completo e il nome del di configurazione dell'attendibilità aggiornato.
   • LOCATION: l'attributo location specifica regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

   API

   Effettua una richiesta PATCH al metodo trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Sostituisci quanto segue:

   • PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
   • LOCATION: l'attributo location specifica regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.
   • TRUST_CONFIG_ID: l'ID della configurazione dell'attendibilità di destinazione risorsa.
   • DESCRIPTION: una descrizione significativa per la risorsa di configurazione dell'attendibilità. La descrizione è facoltativa.
   • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
   • INTER_CERT_PEM_PAYLOAD: il completo Payload PEM per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità di configurazione della risorsa. Questo valore è facoltativo.
   • ALLOWLISTED_CERT: il certificato che viene aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Elenca configurazioni di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

• Visualizzatore Gestore certificati (roles/certificatemanager.viewer)
• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per elencare le configurazioni dell'attendibilità configurate, completa i seguenti passaggi.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Visualizza configurazioni di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

• Visualizzatore Gestore certificati (roles/certificatemanager.viewer)
• Editor gestore certificati (roles/certificatemanager.editor)
• Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per visualizzare una configurazione di attendibilità, completa i seguenti passaggi.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Elimina una configurazione dell'attendibilità

Per completare questa attività, devi disporre del ruolo Proprietario gestore certificati (roles/certificatemanager.owner) nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per eliminare una configurazione di attendibilità, completa i seguenti passaggi.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Passaggi successivi

• Gestire i certificati
• Gestire le mappe di certificati
• Gestire le voci della mappa di certificati
• Gestisci autorizzazioni DNS
• Gestire le configurazioni di emissione dei certificati