Questa pagina descrive come creare e gestire una risorsa di configurazione dell'emissione di certificati.
Per saperne di più sulle risorse di configurazione dell'emissione dei certificati, consulta Configurazioni di emissione dei certificati.
Crea una risorsa di configurazione dell'emissione dei certificati
Prima di creare la risorsa di configurazione dell'emissione, configura l'integrazione di CA Service con Gestore certificati.
Per creare una risorsa di configurazione dell'emissione del certificato, specifica la durata, la percentuale della finestra di rotazione, l'algoritmo della chiave e il pool di CA da utilizzare.
Anche se utilizzi un pool di CA regionale per emettere un certificato TLS gestito da Google, il certificato può essere utilizzato a livello globale.
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Fai clic su Crea. Viene visualizzata la pagina Crea una configurazione dell'emissione dei certificati.
Nel campo Nome, inserisci un nome univoco per la risorsa di configurazione dell'emissione del certificato.
(Facoltativo) Nel campo Descrizione, inserisci una descrizione della configurazione di emissione.
Per Località, seleziona Globale o A livello di regione. Se hai selezionato Regionale, seleziona la stessa Regione del certificato e del pool di CA.
Nel campo Durata, specifica la durata del certificato emesso in giorni. Il valore deve essere compreso tra 21 e 30 giorni (inclusi).
Per Percentuale della finestra di rotazione, specifica la percentuale della durata del certificato in cui inizia la procedura di rinnovo. Per trovare l'intervallo di valori validi, consulta Percentuale di durata e finestra di rotazione.
Dall'elenco Algoritmo chiave, seleziona l'algoritmo chiave da utilizzare durante la generazione della chiave privata.
Nell'elenco Pool di CA, seleziona il nome del pool di CA da assegnare a questa risorsa di configurazione dell'emissione di certificati.
Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.
Fai clic su Crea.
gcloud
Per creare una risorsa di configurazione dell'emissione dei certificati, utilizza il comando certificate-manager issuance-configs create:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.CA_POOL: il percorso e il nome completi della risorsa del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione di certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato di durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Percentuale della finestra di durata e rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.LOCATION: la posizione di destinazione Google Cloud .
API
Crea la risorsa di configurazione dell'emissione dei certificati inviando una richiesta POST
al metodo certificateIssuanceConfigs.create come segue:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.LOCATION: la posizione di destinazione Google Cloud .ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.DESCRIPTION: una descrizione significativa della risorsa di configurazione dell'emissione dei certificati.CA_POOL: il percorso e il nome completi della risorsa del pool di CA che vuoi assegnare alla risorsa di configurazione dell'emissione di certificati.CERTIFICATE_LIFETIME: la durata del certificato in giorni. I valori validi vanno da 21 a 30 giorni nel formato di durata assoluta. Il valore predefinito è 30 giorni (30D). Questo flag è facoltativo.ROTATION_WINDOW_PERCENTAGE: la percentuale della durata rimanente del certificato prima del rinnovo. Il valore predefinito è 66%. Per trovare l'intervallo di valori validi, consulta [Percentuale della finestra di durata e rotazione](#lifetime-rotation-percentage). Questo flag è facoltativo.KEY_ALGORITHM: l'algoritmo di crittografia utilizzato per generare la chiave privata. I valori validi sonoecdsa-p256orsa-2048. Il valore predefinito èrsa-2048. Questo flag è facoltativo.
Durata e percentuale della finestra di rotazione
Quando crei una risorsa di configurazione dell'emissione di certificati, definisci anche la durata del certificato nel campo Durata e quando inizia la procedura di rinnovo del certificato prima della scadenza nel campo Percentuale finestra di rotazione.
Per assicurarti che il certificato venga rinnovato almeno sette giorni prima della scadenza e sette giorni dopo l'emissione, imposta la percentuale della finestra di rotazione in relazione alla durata del certificato. Per calcolare l'intervallo consentito per la percentuale della finestra di rotazione, utilizza le seguenti formule:
- Valore minimo: percentuale della finestra di rotazione ≥ (7 / durata) * 100
- Valore massimo: percentuale della finestra di rotazione ≤ ( (durata - 7) / durata) * 100
Nelle formule precedenti, 7 corrisponde a sette giorni.
Se il valore minimo è un valore decimale, arrotondalo per eccesso al numero intero più vicino. Se il valore massimo è un valore decimale, arrotondalo per difetto al numero intero più vicino.
Aggiorna una configurazione di emissione dei certificati
Quando aggiorni una configurazione dell'emissione dei certificati, puoi:
- Specifica le nuove etichette
- Specifica una nuova descrizione
gcloud
Per aggiornare una risorsa di configurazione dell'emissione dei certificati, utilizza il
comando certificate-manager issuance-configs update:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della configurazione di emissione dei certificati di destinazione che vuoi aggiornare.LABELS: le etichette che vuoi specificare per la configurazione di emissione del certificato. Le etichette devono essere specificate in un elenco delimitato da virgole come coppieKEY=VALUE. Questo campo è facoltativo.DESCRIPTION: la descrizione della configurazione di emissione del certificato. Questo campo è facoltativo.
API
Utilizza il metodo
certificateIssuanceConfigs.patch
per aggiornare una configurazione di emissione dei certificati:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della configurazione di emissione dei certificati di destinazione che vuoi aggiornare.LABEL_KEY: la chiave di etichetta. Questo campo è facoltativo.LABEL_VALUE: il valore dell'etichetta. Questo campo è facoltativo.DESCRIPTION: la configurazione dell'emissione dei certificati.
Elenca le configurazioni di emissione dei certificati
Puoi visualizzare tutte le risorse di configurazione dell'emissione dei certificati del tuo progetto e i relativi dettagli.
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Nella scheda Configurazioni di emissione vengono visualizzate tutte le risorse di configurazione di emissione dei certificati gestite da Certificate Manager nel progetto selezionato.
gcloud
Per elencare le risorse di configurazione dell'emissione dei certificati, utilizza il
comando certificate-manager issuance-configs list:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Sostituisci quanto segue:
FILTER: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtraggio dei risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati che vuoi restituire per paginaLIMIT: il numero massimo di risultati che vuoi restituireSORT_BY: un elenco separato da virgole dei campinamein base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi una tilde (~) al campo.LOCATION: la posizione di destinazione Google Cloud .
API
Elenca le risorse di configurazione dell'emissione dei certificati configurate inviando una richiesta LIST
al metodo certificateIssuanceConfigs.list come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.FILTER: un'espressione che limita i risultati restituiti a valori specifici.Ad esempio, per filtrare i risultati in base alle etichette e all'ora di creazione, puoi specificare:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati dell'elenco nella documentazione di Cloud Key Management Service.
PAGE_SIZE: il numero di risultati che vuoi restituire per paginaSORT_BY: un elenco separato da virgole dei campinamein base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente. Per l'ordinamento decrescente, anteponi una tilde (~) al campo.
Visualizza lo stato di una risorsa di configurazione dell'emissione dei certificati
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Fai clic sul nome della risorsa di configurazione dell'emissione del certificato che vuoi visualizzare. La pagina Configurazione di emissione dei certificati mostra informazioni dettagliate sulla risorsa di configurazione di emissione dei certificati.
gcloud
Per visualizzare lo stato di una risorsa di configurazione dell'emissione di certificati, utilizza il
comando
certificate-manager issuance-configs describe:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Sostituisci ISSUANCE_CONFIG_NAME con il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
API
Visualizza lo stato della risorsa di configurazione dell'emissione dei certificati inviando
una richiesta GET al metodo certificateIssuanceConfigs.get come segue:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
Elimina una risorsa di configurazione dell'emissione dei certificati
Prima di eliminare una risorsa di configurazione dell'emissione di certificati, devi prima eliminare il certificato gestito da Google che la fa riferimento.
Per disattivare l'ultima CA che hai attivato in un pool di CA a cui viene fatto riferimento nella risorsa di configurazione dell'emissione di certificati o per eliminare completamente il pool di CA, devi prima eliminare tutte le risorse di configurazione dell'emissione di certificati che fanno riferimento al pool di CA.
Console
Nella console Google Cloud , vai alla scheda Configurazioni di emissione nella pagina Certificate Manager.
Seleziona la casella di controllo della configurazione di emissione che vuoi eliminare.
Fai clic su Elimina.
Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.
gcloud
Per eliminare una risorsa di configurazione dell'emissione dei certificati, utilizza il
comando certificate-manager issuance-configs delete:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Sostituisci quanto segue:
ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.LOCATION: la posizione di destinazione Google Cloud .
API
Elimina la risorsa di configurazione dell'emissione dei certificati inviando una richiesta DELETE
al metodo certificateIssuanceConfigs.delete nel seguente modo:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del tuo Google Cloud progetto.ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
Passaggi successivi
- Confrontare le versioni di Certificate Manager
- Visualizzare l'inventario dei certificati
- Monitorare i certificati
- Creare la configurazione dell'attendibilità