Questa pagina è stata tradotta dall'API Cloud Translation.

Gestisci configurazioni di attendibilità

Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare in Scenari di autenticazione TLS (mTLS).

Per maggiori informazioni, consulta le seguenti risorse:

Per scoprire di più su configurazioni di attendibilità, trust anchor e e certificati, consulta Configurazioni di attendibilità. in Come funziona Gestore certificati.
Per saperne di più su mTLS, consulta la sezione Autenticazione TLS reciproca nella documentazione di Cloud Load Balancing.
Per utilizzare una configurazione di attendibilità per configurare mTLS sul proxy di destinazione, consulta uno dei pagine seguenti nella documentazione di Cloud Load Balancing:
- Configura TLS reciproco con certificati firmati
- Configurare TLS reciproco con una CA privata

Le istruzioni per gcloud in questa pagina presuppongono che tu stia utilizzando Cloud Shell o un altro ambiente con bash installato. Per ulteriori informazioni sui comandi gcloud utilizzati in questa pagina, consulta le Riferimento per l'interfaccia a riga di comando di Certificate Manager.

Crea una configurazione di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

Editor gestore certificati (roles/certificatemanager.editor)
Proprietario gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per creare una configurazione di attendibilità, completa i seguenti passaggi:

Console

Nella console Google Cloud, vai alla pagina Gestione certificati.

Vai a Gestore dei certificati
Nella scheda Trust Configs (Configurazioni attendibilità), fai clic su Add Trust Config (Aggiungi configurazione attendibilità).
Nel campo Nome, inserisci un nome per la configurazione.

Il nome del progetto deve essere univoco. Inoltre, deve iniziare con una lettera minuscola seguita da un massimo di 62 lettere minuscole, numeri o trattini e non deve terminare con un trattino.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione. Questa descrizione ti aiuta a identificare una configurazione specifica in un secondo momento.
(Facoltativo) Nel campo Etichette, specifica le etichette da associare alla configurazione della attendibilità. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
In Località, seleziona Globale o A livello di regione.

Se hai selezionato Regionale, seleziona la Regione.
Nella sezione Magazzino attendibile, aggiungi trust anchor e CA intermedie.

Puoi specificare più ancore di attendibilità e certificati intermedi utilizzando più istanze del payload PEM completo per il certificato, un certificato per istanza.
1. Nella sezione Ancore di attendibilità, fai clic su Aggiungi ancora di attendibilità e carica il file del certificato con codifica PEM o copia i contenuti del certificato. Al termine, fai clic su Aggiungi.
2. (Facoltativo) Nella sezione CA intermedie, fai clic su Aggiungi CA intermedia e carica il file del certificato intermedio con codifica PEM o copia i contenuti del certificato intermedio. Al termine, fai clic su Aggiungi.
  
  Questo passaggio ti consente di aggiungere un altro livello di attendibilità tra il certificato radice e il certificato del server.
3. (Facoltativo) Nella sezione Certificati inclusi nella lista consentita, fai clic su Aggiungi certificato e carica del certificato con codifica PEM oppure copia i contenuti del certificato. In questo modo il certificato viene aggiunto a una lista consentita. Al termine, fai clic su Aggiungi.
  
  Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato che può essere incapsulato nella configurazione della attendibilità in modo che sia sempre considerato valido. Per incapsulare più certificati in una lista consentita all'interno della configurazione attendibilità, utilizza più istanze del campo pemCertificate , un certificato per istanza aggiunto a una lista consentita. R aggiunto a una lista consentita è sempre considerato valido in quanto purché sia possibile analizzare il certificato, la prova del possesso di una chiave privata e i vincoli sul campo SAN del certificato sono soddisfatte determinate condizioni. I certificati scaduti sono considerati validi anche quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato con codifica PEM, vedi RFC 7468.
Fai clic su Crea.

Verifica che la nuova configurazione dell'attendibilità venga visualizzata nell'elenco delle configurazioni.

gcloud

Crea un file YAML di configurazione della attendibilità che specifichi i relativi parametri.

Il file ha il seguente formato:
```
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
Sostituisci quanto segue:
- CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione della attendibilità.
- INTER_CERT_PEM_PAYLOAD: il PEM completo payload per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità risorsa. Questo valore è facoltativo.
- ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione attendibile. Questo valore è facoltativo.
Puoi specificare più ancore di attendibilità e certificati intermedi utilizzando più istanze del campo pemCertificate, un certificato per istanza, nelle rispettive sezioni della specifica della risorsa di configurazione della attendibilità.

Un certificato aggiunto a una lista consentita rappresenta qualsiasi certificato che può essere incapsulato nella configurazione della attendibilità in modo che sia sempre considerato valido. Per incapsulare più certificati in una lista consentita all'interno della configurazione attendibilità, utilizza più istanze del campo pemCertificate , un certificato per istanza aggiunto a una lista consentita. R aggiunto a una lista consentita è sempre considerato valido in quanto purché sia possibile analizzare il certificato, la prova del possesso di una chiave privata e i vincoli sul campo SAN del certificato sono soddisfatte determinate condizioni. I certificati scaduti sono considerati validi anche quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato con codifica PEM, consulta RFC 7468.
Per importare il file YAML della configurazione della attendibilità, utilizza il comando gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION
```
Sostituisci quanto segue:
- TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione della attendibilità.
- PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
- TRUST_CONFIG_FILE: il percorso completo e il nome del del file YAML di configurazione dell'attendibilità che hai creato al passaggio 1.
- LOCATION: la regione in cui è memorizzata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Effettua una richiesta POST al metodo trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
LOCATION: l'attributo location specifica regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.
TRUST_CONFIG_ID: un ID univoco che identifica questa risorsa di configurazione della attendibilità.
DESCRIPTION: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione della attendibilità.
INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per questa risorsa di configurazione della attendibilità. Questo valore è facoltativo.
ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione della attendibilità. Questo valore è facoltativo.

Aggiorna una configurazione di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

Editor gestore certificati (roles/certificatemanager.editor)
Proprietario di Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, consulta Ruoli e autorizzazioni.

Per aggiornare una configurazione attendibile:

Console

Nella console Google Cloud, vai alla pagina Gestione certificati.

Vai a Gestore certificati
Nella scheda Configurazioni di attendibilità, individua e seleziona la configurazione di attendibilità che vuoi aggiornare.
Nella colonna Altre opzioni, fai clic sul per la configurazione che vuoi aggiornare e seleziona Modifica.
Apporta le modifiche necessarie.
Fai clic su Salva.

Verifica che le modifiche alla configurazione siano aggiornate.

gcloud

Crea un file YAML della configurazione dell'attendibilità aggiornato che specifichi il nuovo trust di configurazione. Il file ha il seguente formato:
```
name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
Sostituisci quanto segue:
- TRUST_CONFIG_ID: un ID univoco che lo identifica la risorsa di configurazione dell'attendibilità.
- CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione dell'attendibilità.
- INTER_CERT_PEM_PAYLOAD: il PEM completo payload per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità risorsa. Questo valore è facoltativo.
- ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a un lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
Importa il nuovo file di configurazione di attendibilità in Gestione certificati in base al nome della risorsa di configurazione di attendibilità esistente:

Utilizza il comando gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION
```
Sostituisci quanto segue:
- TRUST_CONFIG_ID: l'ID del trust di destinazione di configurazione della risorsa.
- PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
- TRUST_CONFIG_FILE: il percorso completo e il nome del file di configurazione dell'attendibilità aggiornato.
- LOCATION: l'attributo location specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità. La località predefinita è global.

API

Invia una richiesta PATCH al metodo trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": {
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    },
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
LOCATION: l'attributo location specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità. La località predefinita è global.
TRUST_CONFIG_ID: l'ID della risorsa di configurazione della attendibilità di destinazione.
DESCRIPTION: una descrizione significativa per la risorsa di configurazione dell'attendibilità. Questa descrizione è facoltativa.
CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per questa risorsa di configurazione della attendibilità.
INTER_CERT_PEM_PAYLOAD: completa Payload PEM per il certificato intermedio da utilizzare per questa configurazione dell'attendibilità di configurazione della risorsa. Questo valore è facoltativo.
ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione della attendibilità. Questo valore è facoltativo.

Elenca configurazioni di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nella destinazione Progetto Google Cloud:

Visualizzatore Gestore certificati (roles/certificatemanager.viewer)
Editor Gestore certificati (roles/certificatemanager.editor)
Proprietario di Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per elencare le configurazioni di attendibilità configurate, completa i seguenti passaggi.

Console

Nella console Google Cloud, vai alla pagina Gestore certificati.

Vai a Gestione certificati.
Fai clic sulla scheda Trust Configs (Configurazioni attendibili).

La scheda mostra un elenco delle risorse di configurazione dell'attendibilità configurate.

gcloud

Usa il comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Sostituisci quanto segue:

FILTER: un'espressione che limita i risultati restituiti a valori specifici.

Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:
- Etichette e data e ora di creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.
LIMIT: il numero massimo di risultati da restituire.
SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti.

L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, aggiungi una tilde (~) al campo scelto.
LOCATION: l'attributo location specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità. La località predefinita è global.

API

Invia una richiesta GET al metodo trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
FILTER: un'espressione che limita i risultati restituiti a valori specifici.
PAGE_SIZE: il numero di risultati da restituire per pagina.
SORT_BY: un elenco separato da virgole di nomi di campi in base ai quali vengono ordinati i risultati restituiti.

L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, prefisso il campo selezionato con una tilde (~).
LOCATION: l'attributo location specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità. La località predefinita è global.

Visualizza configurazioni di attendibilità

Per completare questa attività, devi disporre di uno dei seguenti ruoli nel progetto Google Cloud di destinazione:

Visualizzatore Gestore certificati (roles/certificatemanager.viewer)
Editor Gestore certificati (roles/certificatemanager.editor)
Proprietario di Gestore certificati (roles/certificatemanager.owner)

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per visualizzare una configurazione di attendibilità, completa i seguenti passaggi.

Console

Nella console Google Cloud, vai alla pagina Gestione certificati.

Vai a Gestione certificati.
Fai clic sulla scheda Trust Configs (Configurazioni attendibili). La scheda mostra un elenco di configurazione dell'attendibilità configurate.
Seleziona la risorsa di configurazione di attendibilità per visualizzarne i dettagli.

La pagina Dettagli della configurazione di attendibilità mostra informazioni dettagliate sulla configurazione di attendibilità selezionata.

gcloud

Usa il comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

TRUST_CONFIG_ID: l'ID della configurazione di attendibilità di destinazione.
LOCATION: la regione in cui è memorizzata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

API

Invia una richiesta GET al metodo trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
TRUST_CONFIG_ID: l'ID della configurazione dell'attendibilità di destinazione.
LOCATION: l'attributo location specifica la regione in cui è archiviata la risorsa di configurazione della attendibilità. La località predefinita è global.

Elimina una configurazione dell'attendibilità

Per completare questa attività, devi disporre del ruolo Proprietario di Certificate Manager (roles/certificatemanager.owner) nel progetto Google Cloud di destinazione.

Per ulteriori informazioni, vedi Ruoli e autorizzazioni.

Per eliminare una configurazione di attendibilità, completa i seguenti passaggi.

Console

Nella console Google Cloud, vai alla pagina Gestore certificati.

Vai a Gestore certificati
Nella scheda Configurazioni di attendibilità, seleziona la casella di controllo della configurazione di attendibilità che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud

Usa il comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

TRUST_CONFIG_ID: l'ID della configurazione di attendibilità di destinazione.
LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

API

Invia una richiesta DELETE al metodo trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto Google Cloud di destinazione.
LOCATION: la regione in cui è memorizzata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
TRUST_CONFIG_ID: l'ID della configurazione dell'attendibilità di destinazione.

Gestisci configurazioni di attendibilità

Crea una configurazione di attendibilità

Console

gcloud

API

Aggiorna una configurazione di attendibilità

Console

gcloud

API

Elenca configurazioni di attendibilità

Console

gcloud

API

Visualizza configurazioni di attendibilità

Console

gcloud

API

Elimina una configurazione dell'attendibilità

Console

gcloud

API

Passaggi successivi