Emettere un certificato utilizzando la console Google Cloud

Questa guida rapida mostra come generare o emettere certificati tramite Certificate Authority Service utilizzando la console Google Cloud .

Scopri come gestire le autorità di certificazione private (CA) in modo sicuro senza eseguire il provisioning o la manutenzione dell'infrastruttura.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per completare questa guida rapida, chiedi all'amministratore di concederti i seguenti ruoli IAM nel tuo progetto:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un pool di CA

Un pool di CA è una raccolta di più CA. Un pool di CA consente di ruotare le catene di attendibilità senza interruzioni o tempi di inattività per i workload. Un pool di CA si trova in una singola Google Cloud posizione che non puoi modificare dopo la creazione.

Per creare un pool di CA con le impostazioni predefinite:

  1. Vai alla pagina Certificate Authority Service nella console Google Cloud .

    Vai a Certificate Authority Service

  2. Nella scheda Gestore pool di CA, fai clic su Crea pool.

  3. Nella pagina Crea pool di CA, aggiungi un nome per il pool di CA.

  4. Fai clic su Regione e seleziona us-east1 (Carolina del Sud) come regione del pool di CA.

  5. Fai clic su Avanti per ogni passaggio.

  6. Fai clic su Fine.

Puoi visualizzare questo pool di CA nell'elenco dei pool di CA nella scheda Gestore pool di CA.

Crea una CA radice

Un pool di CA è vuoto al momento della creazione. Devi aggiungere una CA al pool di CA per richiedere i certificati.

Una CA radice ha un certificato autofirmato che si trova nell'archivio attendibilità del client. Questa sezione spiega come aggiungere una CA radice al pool di CA che hai creato.

Per aggiungere una CA radice al pool di CA:

  1. Nella pagina Certificate Authority Service, fai clic su Gestore CA.
  2. Fai clic sulla freccia di espansione Crea CA e poi seleziona Crea CA in un pool di CA esistente.
  3. Seleziona il pool di CA che hai creato.
  4. Fai clic su Continua.
  5. Nella sezione Seleziona il tipo CA, fai clic su Continua.
  6. Nel campo Organizzazione (O), inserisci il nome della tua organizzazione.
  7. Nel campo Nome comune CA (NC), inserisci il nome della CA. Prendi nota del nome della CA perché ti servirà per richiedere un certificato.
  8. Fai clic su Continua per ogni passaggio.
  9. Esamina i dettagli della CA e fai clic su Fine.

(Facoltativo) Crea un pool di CA subordinata

Un pool di CA subordinate consente di organizzare e gestire più CA subordinate. La CA radice convalida e firma tutte le CA all'interno di un pool di CA subordinate.

Per creare un pool di CA subordinate con le impostazioni predefinite, esegui le seguenti operazioni:

  1. Nella pagina Certificate Authority Service, fai clic su Gestore pool di CA.
  2. Fai clic su Crea pool.

  3. Nella pagina Crea pool di CA, aggiungi un nome per il pool di CA subordinate.

  4. Fai clic su Regione e seleziona us-east1 (Carolina del Sud) come regione del pool di CA secondario.

  5. Fai clic su Avanti per ogni passaggio.

  6. Fai clic su Fine.

Assicurati che il pool di CA subordinate sia disponibile nell'elenco dei pool di CA nella scheda Gestore pool di CA.

(Facoltativo) Crea una CA subordinata firmata dalla CA radice

Le CA subordinate sono responsabili della distribuzione dei certificati alle entità finali che ne hanno bisogno, come server web, utenti e dispositivi. Le CA subordinate creano un livello di separazione tra la CA radice altamente sensibile e l'emissione di certificati giornaliera.

Per generare una CA subordinata firmata da una CA radice creata in precedenza:

  1. Nella pagina Certificate Authority Service, fai clic su Gestore CA.
  2. Fai clic sulla freccia di espansione Crea CA e poi seleziona Crea CA in un pool di CA esistente.
  3. Seleziona il pool di CA subordinate che hai creato.
  4. Fai clic su Continua.
  5. Fai clic su CA subordinata.
  6. Fai clic su La CA radice si trova in Google Cloud.
  7. Nel campo Autorità di certificazione della firma, fai clic su Sfoglia.
  8. Nella finestra di dialogo Seleziona una CA, seleziona la CA radice creata nella sezione Crea una CA radice.
  9. Fai clic su Conferma.
  10. Nel campo Valido per, inserisci la durata per cui vuoi che il certificato CA subordinata sia valido.
  11. Fai clic su Continua.
  12. Nel campo Organizzazione (O), inserisci il nome della tua organizzazione.
  13. Nel campo Nome comune CA (NC), inserisci il nome della CA subordinata. Prendi nota del nome della CA subordinata perché ti servirà per richiedere un certificato.
  14. Fai clic su Continua per ogni passaggio.
  15. Esamina i dettagli della CA subordinata e fai clic su Fine.

Richiedi un certificato

Per richiedere un certificato utilizzando la CA:

  1. Nella pagina Certificate Authority Service, fai clic su Richiedi un certificato.
  2. Fai clic su Inserisci dettagli.
  3. Nella sezione Aggiungi nome di dominio, inserisci il nome di dominio completo del sito che vuoi proteggere con questo certificato.
  4. Fai clic su Avanti.

  5. In Configura dimensioni e algoritmo della chiave, fai clic su Continua.

    Vedrai il certificato generato che puoi copiare o scaricare. Per copiare il certificato, fai clic su .

  6. Fai clic su Fine.

Esegui la pulizia

Esegui la pulizia revocando il certificato ed eliminando il pool di CA, la CA e il progetto che hai creato per questa guida rapida.

  1. Revoca il certificato.

    1. Fai clic sulla scheda Gestore certificati privato.
    2. Nell'elenco dei certificati, fai clic su Mostra altro nella riga del certificato che vuoi eliminare.
    3. Fai clic su Revoca.
    4. Nella finestra di dialogo che si apre, fai clic su Conferma.

  2. Elimina la CA.

    Puoi eliminare una CA solo dopo aver revocato tutti i certificati emessi.

    Dopo aver revocato il certificato:

    1. Nell'elenco delle CA, seleziona quella che vuoi eliminare.
    2. Fai clic su Elimina. Viene visualizzata la finestra di dialogo Elimina autorità di certificazione.
    3. (Facoltativo) Seleziona una o entrambe le seguenti caselle di controllo se le condizioni si applicano a te:

      • Elimina questa CA, anche se ci sono certificati attivi

        Questa opzione ti consente di eliminare una CA con certificati attivi. L'eliminazione di una CA con certificati attivi potrebbe causare errori di siti web, applicazioni o sistemi che si basano su questi certificati. Ti consigliamo di revocare tutti i certificati attivi emessi da una CA prima di eliminare la CA.

      • Salta il periodo di tolleranza di 30 giorni ed elimina questa CA immediatamente

        Il periodo di tolleranza di 30 giorni ti consente di revocare tutti i certificati emessi da questa CA e verificare che nessun sistema dipenda da questa CA. Ti consigliamo di utilizzare questa opzione solo in ambienti di test o non di produzione per evitare potenziali interruzioni e perdite di dati.

    4. Fai clic su Conferma.

    Lo stato dell'autorità di certificazione diventa Deleted. La CA viene eliminata definitivamente 30 giorni dopo l'avvio dell'eliminazione.

  3. Elimina il pool di CA.

    Puoi eliminare un pool di CA solo dopo che il servizio CA ha eliminato definitivamente la CA.

    Dopo aver eliminato la CA nel pool di CA:

    1. Fai clic sulla scheda Gestore pool di CA.
    2. Nell'elenco dei pool di CA, seleziona quello che vuoi eliminare.
    3. Fai clic su Elimina.
    4. Nella finestra di dialogo che si apre, fai clic su Conferma.

  4. Per eliminare il progetto:

    1. Nella console Google Cloud , vai alla pagina Gestisci risorse.

      Vai a Gestisci risorse

    2. Nell'elenco dei progetti, seleziona quello che vuoi eliminare, quindi fai clic su Elimina.
    3. Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

Passaggi successivi