Gestire le configurazioni di attendibilità

Questa pagina descrive come creare e gestire le configurazioni di attendibilità da utilizzare in vari scenari di autenticazione TLS reciproca (mTLS).

Per saperne di più su mTLS, consulta le seguenti risorse:

Crea una configurazione dell'attendibilità

Quando crei una configurazione dell'attendibilità, devi specificare i trust anchor utilizzati per convalidare il certificato.

Per creare una configurazione di trust, completa i seguenti passaggi:

Console

  1. Nella console Google Cloud , vai alla scheda Configurazioni di attendibilità nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Fai clic su Aggiungi configurazione di attendibilità. Viene visualizzata la pagina Crea configurazione dell'attendibilità.

  3. Nel campo Nome, inserisci un nome per la configurazione.

    Il nome deve essere univoco per il progetto. Inoltre, deve iniziare con una lettera minuscola, seguita da un massimo di 62 lettere minuscole, numeri o trattini e non deve terminare con un trattino.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione della configurazione. Questa descrizione ti aiuta a identificare una configurazione specifica in un secondo momento.

  5. (Facoltativo) Nel campo Etichette, specifica le etichette da associare alla configurazione dell'attendibilità. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  6. Per Località, seleziona Globale o A livello di regione.

    Se hai selezionato Regionale, seleziona la Regione.

  7. Nella sezione Archivio di attendibilità, aggiungi trust anchor e CA intermedie.

    Puoi specificare più trust anchor e certificati intermedi utilizzando più istanze del payload PEM completo per il certificato, un certificato per istanza.

    1. Nella sezione Ancore di attendibilità, fai clic su Aggiungi ancora di attendibilità e carica il file del certificato con codifica PEM o copia i contenuti del certificato. Al termine, fai clic su Aggiungi.

    2. (Facoltativo) Nella sezione CA intermedie, fai clic su Aggiungi CA intermedia e carica il file del certificato intermedio con codifica PEM oppure copia i contenuti del certificato intermedio. Al termine, fai clic su Aggiungi.

      Questo passaggio ti consente di aggiungere un altro livello di attendibilità tra il certificato radice e il certificato del server.

    3. (Facoltativo) Nella sezione Certificati consentiti, fai clic su Aggiungi certificato e carica il file del certificato con codifica PEM o copia i contenuti del certificato. In questo modo, il certificato viene aggiunto a una lista consentita. Al termine, fai clic su Aggiungi.

    Per specificare più trust anchor o certificati intermedi all'interno della specifica della risorsa di configurazione dell'attendibilità, utilizza più istanze del campo pemCertificate. Ogni istanza del campo contiene un singolo certificato.

    La configurazione dell'attendibilità considera sempre valido un certificato presente in una lista consentita. Per includere più certificati in una lista consentita, utilizza più istanze del campo pemCertificate, un certificato per istanza. Non è necessario un archivio di attendibilità quando utilizzi i certificati aggiunti a una lista consentita.

    La configurazione dell'attendibilità considera sempre valido un certificato in una lista consentita se soddisfa condizioni specifiche: deve essere analizzabile, possedere la prova di proprietà della chiave privata e rispettare i vincoli del campo SAN del certificato. I certificati scaduti vengono considerati validi anche quando vengono aggiunti a una lista consentita. Per saperne di più sul formato con codifica PEM, consulta RFC 7468.

  8. Fai clic su Crea.

Verifica che la nuova configurazione di attendibilità venga visualizzata nell'elenco delle configurazioni.

gcloud

  1. Crea un file YAML di configurazione dell'attendibilità che specifichi i parametri di configurazione dell'attendibilità.

    Il file ha il seguente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione dell'attendibilità.
    • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione dell'attendibilità.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati che vengono aggiunti a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità.

    Per specificare più trust anchor o certificati intermedi all'interno della specifica della risorsa di configurazione dell'attendibilità, utilizza più istanze del campo pemCertificate. Ogni istanza del campo contiene un singolo certificato.

    La configurazione dell'attendibilità considera sempre valido un certificato presente in una lista consentita. Per includere più certificati in una lista consentita, utilizza più istanze del campo pemCertificate, un certificato per istanza. Non è necessario un archivio di attendibilità quando utilizzi i certificati aggiunti a una lista consentita.

    La configurazione dell'attendibilità considera sempre valido un certificato in una lista consentita se soddisfa condizioni specifiche: deve essere analizzabile, possedere la prova di proprietà della chiave privata e rispettare i vincoli del campo SAN del certificato. I certificati scaduti vengono considerati validi anche quando vengono aggiunti a una lista consentita. Per saperne di più sul formato con codifica PEM, consulta RFC 7468.

  2. Per importare il file YAML di configurazione dell'attendibilità, utilizza il comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del tuo Google Cloud progetto.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione dell'attendibilità creato nel passaggio 1.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Effettua una richiesta POST al metodo trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo Google Cloud progetto.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • DESCRIPTION: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
  • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione dell'attendibilità.
  • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
  • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Aggiorna una configurazione dell'attendibilità

Per aggiornare una configurazione di attendibilità, crea un altro file YAML di configurazione di attendibilità che specifica i nuovi parametri di configurazione di attendibilità e importa questo file in Certificate Manager.

Console

  1. Nella console Google Cloud , vai alla scheda Configurazioni di attendibilità nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Individua e seleziona la configurazione dell'attendibilità che vuoi aggiornare.

  3. Nella colonna Altre opzioni, fai clic su Altre azioni per la configurazione da aggiornare, quindi seleziona Modifica.

  4. Apporta le modifiche necessarie.

  5. Fai clic su Salva.

Verifica che le modifiche alla configurazione siano aggiornate.

gcloud

  1. Esporta il file YAML di configurazione dell'attendibilità.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del tuo Google Cloud progetto.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione dell'attendibilità.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

  2. Modifica il file YAML di configurazione dell'attendibilità.

    Il file ha il seguente formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione dell'attendibilità.
    • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: i certificati aggiunti a un elenco consentito da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

  3. Importa il nuovo file di configurazione dell'attendibilità in Certificate Manager rispetto al nome della risorsa di configurazione dell'attendibilità esistente.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Sostituisci quanto segue:

    • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
    • PROJECT_ID: l'ID del tuo Google Cloud progetto.
    • TRUST_CONFIG_FILE: il percorso completo e il nome del file YAML di configurazione dell'attendibilità.
    • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La località predefinita è global.

API

Effettua una richiesta PATCH al metodo trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo Google Cloud progetto.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • DESCRIPTION: una descrizione significativa per questa risorsa di configurazione dell'attendibilità. Questa descrizione è facoltativa.
  • CERTIFICATE_PEM_PAYLOAD: il payload PEM completo per il certificato da utilizzare per la risorsa di configurazione dell'attendibilità.
  • INTER_CERT_PEM_PAYLOAD: il payload PEM completo per il certificato intermedio da utilizzare per la risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.
  • ALLOWLISTED_CERT: il certificato aggiunto a una lista consentita da utilizzare per questa risorsa di configurazione dell'attendibilità. Questo valore è facoltativo.

Elenca configurazioni di attendibilità

Puoi visualizzare tutte le configurazioni di attendibilità configurate del tuo progetto.

Console

  1. Nella console Google Cloud , vai alla scheda Configurazioni di attendibilità nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Configurazioni di attendibilità puoi visualizzare un elenco di tutte le risorse di configurazione di attendibilità configurate nel progetto selezionato.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Sostituisci quanto segue:

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati che vuoi restituire per pagina

  • LIMIT: il numero massimo di risultati che vuoi restituire

  • SORT_BY: un elenco separato da virgole dei campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi una tilde (~) al campo.

  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. Per elencare le configurazioni di attendibilità di tutte le regioni, utilizza - come valore. Il valore predefinito è -. Questo flag è facoltativo.

API

Effettua una richiesta GET al metodo trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo Google Cloud progetto.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. Per visualizzare tutte le configurazioni di attendibilità in tutte le posizioni, specifica un solo trattino (-).

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati che vuoi restituire per pagina

  • SORT_BY: un elenco separato da virgole dei campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi una tilde (~) al campo.

Visualizza configurazioni dell'attendibilità

Puoi visualizzare i dettagli di una configurazione di attendibilità specifica.

Console

  1. Nella console Google Cloud , vai alla scheda Configurazioni di attendibilità nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Fai clic sulla risorsa di configurazione dell'attendibilità che vuoi visualizzare. La pagina Dettagli configurazione di attendibilità mostra informazioni dettagliate sulla risorsa di configurazione di attendibilità selezionata.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Effettua una richiesta GET al metodo trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo Google Cloud progetto.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.

Eliminare una configurazione di attendibilità

Prima di eliminare una configurazione di attendibilità, scollegala dalla risorsa Autenticazione client (ServerTlsPolicy).

Console

  1. Nella console Google Cloud , vai alla scheda Configurazioni di attendibilità nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Seleziona la casella di controllo della configurazione di attendibilità da eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud

Utilizza il comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Sostituisci quanto segue:

  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.

API

Effettua una richiesta DELETE al metodo trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del tuo Google Cloud progetto.
  • LOCATION: la regione in cui è archiviata la risorsa di configurazione dell'attendibilità. La posizione predefinita è global.
  • TRUST_CONFIG_ID: l'ID della risorsa di configurazione dell'attendibilità.

Passaggi successivi