Questa pagina descrive come creare e gestire una risorsa di configurazione dell'emissione dei certificati.
Per saperne di più sulle risorse di configurazione dell'emissione dei certificati, consulta Configurazioni di emissione dei certificati.
Creare una risorsa di configurazione dell'emissione dei certificati
Prima di creare la risorsa di configurazione dell'emissione, configura l'integrazione di CA Service con Certificate Manager.
Per creare una risorsa di configurazione dell'emissione dei certificati, specifica la durata del certificato, la percentuale della finestra di rotazione, l'algoritmo della chiave e il pool di CA da utilizzare.
Anche se utilizzi un pool di CA regionale per emettere un certificato TLS gestito da Google, il certificato può essere utilizzato a livello globale.
Console
Nella Google Cloud console, vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Fai clic su Crea. Viene visualizzata la pagina Crea una configurazione dell'emissione dei certificati.
Nel campo Nome, inserisci un nome univoco per la risorsa di configurazione dell'emissione dei certificati.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione per la configurazione dell'emissione.
Per Località, seleziona Globale o Regionale. Se hai selezionato Regionale, seleziona la stessa Regione del certificato e del pool di CA.
Nel campo Durata, specifica la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
Per Percentuale della finestra di rotazione, specifica la percentuale della durata del certificato in cui inizia la procedura di rinnovo. Per trovare l' intervallo di valori validi, consulta Durata e percentuale della finestra di rotazione.
Nell'elenco Algoritmo della chiave, seleziona l'algoritmo della chiave da utilizzare per generare la chiave privata.
Nell'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione dei certificati.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
gcloud
Per creare una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs create
comando:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.CA_POOL: il percorso completo della risorsa e il nome del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato di durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Durata e percentuale della finestra di rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.LOCATION: la località di destinazione Google Cloud .
API
Crea la risorsa di configurazione dell'emissione dei certificati inviando una richiesta POST al metodo certificateIssuanceConfigs.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.LOCATION: la località di destinazione Google Cloud .ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.DESCRIPTION: una descrizione significativa per la risorsa di configurazione dell'emissione dei certificati.CA_POOL: il percorso completo della risorsa e il nome del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione dei certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato di durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Durata e percentuale della finestra di rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.
Durata e percentuale della finestra di rotazione
Quando crei una risorsa di configurazione dell'emissione dei certificati, definisci anche la durata del certificato nel campo Durata e quando inizia la procedura di rinnovo del certificato prima della scadenza nel campo Percentuale della finestra di rotazione.
Per assicurarti che il certificato venga rinnovato almeno sette giorni prima della scadenza e sette giorni dopo l'emissione, imposta la percentuale della finestra di rotazione in relazione alla durata del certificato. Per calcolare l'intervallo consentito per la percentuale della finestra di rotazione, utilizza le seguenti formule:
- Valore minimo: Percentuale della finestra di rotazione ≥ (7 / Durata) * 100
- Valore massimo: Percentuale della finestra di rotazione ≤ ( (Durata - 7) / Durata) * 100
Nelle formule precedenti, 7 indica sette giorni.
Se il valore minimo è un valore decimale, arrotondalo per eccesso al numero intero più vicino. Se il valore massimo è un valore decimale, arrotondalo per difetto al numero intero più vicino.
Aggiornare una configurazione dell'emissione dei certificati
Quando aggiorni una configurazione dell'emissione dei certificati, puoi:
- Specificare nuove etichette
- Specificare una nuova descrizione
gcloud
Per aggiornare una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs update
comando:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della configurazione dell'emissione dei certificati di destinazione che vuoi aggiornare.LABELS: le etichette che vuoi specificare per la configurazione dell'emissione dei certificati. Le etichette devono essere specificate in un elenco delimitato da virgole come coppieKEY=VALUE. Questo campo è facoltativo.DESCRIPTION: la descrizione della configurazione dell'emissione dei certificati. Questo campo è facoltativo.
API
Utilizza il
certificateIssuanceConfigs.patch
metodo per aggiornare una configurazione dell'emissione dei certificati:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della configurazione dell'emissione dei certificati di destinazione che vuoi aggiornare.LABEL_KEY: la chiave di etichetta. Questo campo è facoltativo.LABEL_VALUE: il valore dell'etichetta. Questo campo è facoltativo.DESCRIPTION: la configurazione dell'emissione dei certificati.
Elencare le configurazioni dell'emissione dei certificati
Puoi visualizzare tutte le risorse di configurazione dell'emissione dei certificati del tuo progetto e i relativi dettagli.
Console
Nella Google Cloud console, vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Nella scheda Configurazioni di emissione vengono visualizzate tutte le risorse di configurazione dell'emissione dei certificati gestite da Certificate Manager nel progetto selezionato.
gcloud
Per elencare le risorse di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs list
comando:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Sostituisci quanto segue:
FILTER: un'espressione che vincola i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Gestore certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.LIMIT: il numero massimo di risultati da restituire.SORT_BY: un elenco separato da virgole di campinamein base ai quali vengono ordinati i risultati restituiti. L'ordine di ordinamento predefinito è crescente; per l'ordine di ordinamento decrescente, anteponi una tilde (~) al campo.LOCATION: la località di destinazione Google Cloud .
API
Elenca le risorse di configurazione dell'emissione dei certificati configurate inviando una richiesta LIST al metodo certificateIssuanceConfigs.list come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.FILTER: un'espressione che vincola i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Gestore certificati, consulta Ordinare e filtrare i risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati da restituire per pagina.SORT_BY: un elenco separato da virgole di campinamein base ai quali vengono ordinati i risultati restituiti. L'ordine di ordinamento predefinito è crescente; per l'ordine di ordinamento decrescente, anteponi una tilde (~) al campo.
Visualizzare lo stato di una risorsa di configurazione dell'emissione dei certificati
Console
Nella Google Cloud console, vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Fai clic sul nome della risorsa di configurazione dell'emissione dei certificati che vuoi visualizzare. La pagina Configurazione dell'emissione dei certificati mostra informazioni dettagliate sulla risorsa di configurazione dell'emissione dei certificati.
gcloud
Per visualizzare lo stato di una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs describe
comando:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sostituisci ISSUANCE_CONFIG_NAME con il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
API
Visualizza lo stato della risorsa di configurazione dell'emissione dei certificati inviando una richiesta GET al metodo certificateIssuanceConfigs.get come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Eliminare una risorsa di configurazione dell'emissione dei certificati
Prima di eliminare una risorsa di configurazione dell'emissione dei certificati, devi prima eliminare il certificato gestito da Google che fa riferimento a questa risorsa.
Per disattivare l'ultima CA che hai attivato in un pool di CA a cui fa riferimento la risorsa di configurazione dell'emissione dei certificati o per eliminare completamente il pool di CA, devi prima eliminare tutte le risorse di configurazione dell'emissione dei certificati che fanno riferimento al pool di CA.
Console
Nella Google Cloud console, vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Seleziona la casella di controllo della configurazione dell'emissione che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
Per eliminare una risorsa di configurazione dell'emissione dei certificati, utilizza il
certificate-manager issuance-configs delete
comando:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.LOCATION: la località di destinazione Google Cloud .
API
Elimina la risorsa di configurazione dell'emissione dei certificati inviando una richiesta DELETE al metodo certificateIssuanceConfigs.delete come segue:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione dei certificati che fa riferimento al pool di CA di destinazione.
Passaggi successivi
- Gestire i certificati
- Gestire le mappe dei certificati
- Gestire le voci delle mappe dei certificati
- Gestire le autorizzazioni DNS