Gestire le configurazioni di attendibilità

Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare negli scenari di autenticazione TLS reciproca (mTLS).

Per ulteriori informazioni su mTLS, consulta le seguenti risorse:

Crea una configurazione dell'attendibilità

Quando crei una configurazione attendibilità, devi specificare le ancore di attendibilità utilizzate per convalidare il certificato.

Per creare una configurazione di attendibilità, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Trust Configs (Configurazioni attendibilità), fai clic su Add Trust Config (Aggiungi configurazione attendibilità).

  3. Nel campo Nome, inserisci un nome per la configurazione.

    Il nome deve essere univoco per il progetto. Inoltre, deve iniziare con una lettera minuscola seguita da un massimo di 62 lettere minuscole, numeri o trattini e non deve terminare con un trattino.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione. Questa descrizione ti aiuta a identificare una configurazione specifica in un secondo momento.

  5. (Facoltativo) Nel campo Etichette, specifica le etichette da associare alla configurazione della attendibilità. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  6. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, seleziona la Regione.

  7. Nella sezione Magazzino attendibile, aggiungi trust anchor e CA intermedie.

    Puoi specificare più trust anchor e certificati intermedi utilizzando più istanze del payload PEM completo per il certificato, un certificato per istanza.

    1. Nella sezione Ancore di attendibilità, fai clic su Aggiungi ancora di attendibilità e carica il file del certificato con codifica PEM o copia i contenuti del certificato. Al termine, fai clic su Aggiungi.

    2. (Facoltativo) Nella sezione CA intermedie, fai clic su Aggiungi CA intermedia e carica il file del certificato intermedio con codifica PEM o copia i contenuti del certificato intermedio. Al termine, fai clic su Aggiungi.

      Questo passaggio ti consente di aggiungere un altro livello di attendibilità tra il certificato radice e il certificato del server.

    3. (Facoltativo) Nella sezione Certificati nella lista consentita, fai clic su Aggiungi certificato e carica il file del certificato con codifica PEM o copia i contenuti del certificato. Il certificato viene aggiunto a una lista consentita. Al termine, fai clic su Aggiungi.

    Per specificare più ancore di attendibilità o certificati intermedi all'interno della specifica della risorsa di configurazione della attendibilità, utilizza più istanze del campo pemCertificate. Ogni istanza del campo contiene un singolo documento di certificazione.

    La configurazione attendibile considera sempre valido un certificato presente in una lista consentita. Per incapsulare più certificati in una lista consentita, utilizza più istanze del campo pemCertificate, un certificato per istanza. Non è necessario un archivio attendibile quando utilizzi i certificati aggiunti a una lista consentita.

    La configurazione attendibile considera sempre valido un certificato in una lista consentita sesoddisfa condizioni specifiche: deve essere analizzabile, disporre di una prova della proprietà della chiave privata e rispettare i vincoli del campo SAN del certificato. I certificati scaduti sono considerati validi anche quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato codificato in PEM, consulta la RFC 7468.

  8. Fai clic su Crea.

Verifica che la nuova configurazione attendibile venga visualizzata nell'elenco delle configurazioni.

gcloud

  1. Crea un file YAML di configurazione dell'attendibilità che specifichi i parametri di configurazione dell'attendibilità.

    Il file ha il seguente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione della attendibilità.
    • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione della attendibilità.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati che vengono aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione attendibilità.

    Per specificare più ancore di attendibilità o certificati intermedi all'interno della specifica della risorsa di configurazione della attendibilità, utilizza più istanze del campo pemCertificate. Ogni istanza del campo contiene un singolo certificato.

    La configurazione attendibile considera sempre valido un certificato presente in una lista consentita. Per incapsulare più certificati in una lista consentita, utilizza più istanze del campo pemCertificate, un certificato per istanza. Non è necessario un archivio attendibile quando utilizzi i certificati aggiunti a una lista consentita.

    La configurazione attendibile considera sempre valido un certificato in una lista consentita sesoddisfa condizioni specifiche: deve essere analizzabile, disporre di una prova della proprietà della chiave privata e rispettare i vincoli del campo SAN del certificato. I certificati scaduti sono considerati validi anche quando vengono aggiunti a una lista consentita. Per ulteriori informazioni sul formato codificato in PEM, consulta la RFC 7468.

  2. Per importare il file YAML della configurazione della attendibilità, utilizza il comandogcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del progetto Google Cloud.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione della attendibilità creato nel passaggio 1.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Invia una richiesta POST al metodo trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • DESCRIPTION: una descrizione significativa per questa risorsa trust.config. Questo valore è facoltativo.
  • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione della attendibilità.
  • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione della attendibilità. Questo valore è facoltativo.
  • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione della attendibilità. Questo valore è facoltativo.

Aggiornare una configurazione dell'attendibilità

Per aggiornare una configurazione attendibile, crea un altro file YAML di configurazione attendibile che specifichi i nuovi parametri di configurazione attendibile e importa questo file in Gestore certificati.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Configurazioni attendibilità, individua e seleziona la configurazione attendibilità che vuoi aggiornare.

  3. Nella colonna Altre opzioni, fai clic su Altre azioni per la configurazione da aggiornare e seleziona Modifica.

  4. Apporta le modifiche necessarie.

  5. Fai clic su Salva.

Verifica che le modifiche alla configurazione siano aggiornate.

gcloud

  1. Esporta il file YAML della configurazione della attendibilità.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del progetto Google Cloud.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione della attendibilità.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

  2. Modifica il file YAML della configurazione dell'attendibilità.

    Il file ha il seguente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione della attendibilità.
    • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione della attendibilità. Questo valore è facoltativo.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a un elenco consentiti da utilizzare per questa risorsa di configurazione attendibilità. Questo valore è facoltativo.

  3. Importa il nuovo file di configurazione di attendibilità in Gestione certificati in base al nome della risorsa di configurazione di attendibilità esistente.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del progetto Google Cloud.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione della attendibilità.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Invia una richiesta PATCH al metodo trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • DESCRIPTION: una descrizione significativa per questa risorsa trust.config. Questa descrizione è facoltativa.
  • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione della attendibilità.
  • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione della attendibilità. Questo valore è facoltativo.
  • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione della attendibilità. Questo valore è facoltativo.

Elenca le configurazioni di attendibilità

Puoi vedere tutte le configurazioni di attendibilità configurate del progetto.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Fai clic sulla scheda Configurazioni attendibili. La scheda mostra un elenco delle risorse di configurazione della attendibilità configurate.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Sostituisci quanto segue:

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global. Per visualizzare tutte le configurazioni di attendibilità in tutte le località, specifica un singolo trattino (-).

API

Invia una richiesta GET al metodo trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. Per visualizzare tutte le configurazioni di attendibilità in tutte le località, specifica un singolo trattino (-).

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e alla data di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Gestore dei certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco separato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi al campo un a capo (~).

Visualizza le configurazioni di attendibilità

Puoi visualizzare i dettagli di una configurazione attendibilità specifica.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Fai clic sulla scheda Configurazioni attendibili. La scheda mostra un elenco di risorse di configurazione di attendibilità configurate.

  3. Seleziona la risorsa di configurazione della attendibilità per visualizzarne i dettagli. La pagina Dettagli della configurazione di attendibilità mostra informazioni dettagliate sulla configurazione di attendibilità selezionata.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Invia una richiesta GET al metodo trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.

Eliminare una configurazione dell'attendibilità

Prima di eliminare una configurazione dell'attendibilità, scollegala dalla risorsa Client Authentication (ServerTlsPolicy).

Console

  1. Nella console Google Cloud, vai alla pagina Gestione certificati.

    Vai a Gestore certificati

  2. Nella scheda Configurazioni attendibilità, seleziona la casella di controllo della configurazione attendibilità da eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Invia una richiesta DELETE al metodo trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto Google Cloud.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.

Passaggi successivi