Monitorare i certificati

La dashboard di panoramica di Certificate Manager (2ª generazione.) ti aiuta a mantenere un ambiente di certificati sicuro e integro. Puoi utilizzare la dashboard per identificare i certificati in scadenza, controllare la tua postura di sicurezza e monitorare le tendenze di emissione.

La dashboard di panoramica include i seguenti grafici di monitoraggio:

• Numero di certificati emessi negli ultimi 7 giorni: monitora il numero totale di certificati emessi negli ultimi 7 giorni.
• Certificati emessi per tipo di autorità: raggruppa i certificati per tipo di autorità (pubblica, privata o sconosciuta).
• Certificati emessi per località: ordina i certificati geograficamente in base alla località di deployment.
• Certificati in scadenza: mostra i certificati in scadenza entro 7 e 30 giorni.

Prima di iniziare

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per monitorare i certificati, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

• Visualizzatore di Certificate Manager (roles/certificatemanager.viewer)
• Monitoring Viewer (roles/monitoring.viewer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Accedere alla dashboard di panoramica

Per accedere alla dashboard e visualizzare le metriche del certificato, segui questi passaggi:

1. Nella console Google Cloud , vai alla pagina Certificate Manager.

   Vai alla dashboard di panoramica di Certificate Manager

2. (Facoltativo) Per modificare l'intervallo di tempo, utilizza il selettore del tempo in alto a destra della dashboard. Per impostazione predefinita, la dashboard mostra le metriche degli ultimi 7 giorni.

I dati della dashboard vengono aggiornati ogni 24 ore.

Monitorare l'integrità e le scadenze dei certificati

La dashboard fornisce metriche incentrate in modo specifico sui certificati di lunga durata, ovvero certificati con una durata superiore a 72 ore.

Certificate Manager (2ª generazione.) esclude i certificati di breve durata (con una durata inferiore a 72 ore) perché vengono sottoposti a rotazione automatica frequente e non richiedono lo stesso monitoraggio manuale dei certificati di lunga durata.

Per monitorare i certificati in scadenza che richiedono un intervento manuale:

1. Individua il grafico Certificati in scadenza nella dashboard.
2. Esamina gli avvisi relativi ai certificati in scadenza.
3. Se ricevi un avviso di scadenza, cerca l'inventario utilizzando l'identità del certificato per verificare se è già stata eseguita una sostituzione. Per maggiori informazioni, consulta Filtrare l'inventario dei certificati.

Controllare l'inventario dei certificati

Utilizza la sezione Metriche dell'inventario della dashboard per controllare i certificati attivi nel tuo ambiente durante l'intervallo di tempo selezionato.

Per controllare l'inventario, esamina i certificati classificati in base ai seguenti criteri:

• Visualizza i certificati attivi per risorsa: monitora il volume dei certificati in base alla risorsa che li ha emessi. Google Cloud Certificate Manager (2ª generazione.) identifica i certificati emessi da Managed Workload Identity o dal bilanciamento del carico; gli altri certificati emessi tramite Certificate Authority Service sono classificati come Non specificato. Per saperne di più, consulta Servizi supportati.
• Visualizza i certificati attivi per algoritmo della chiave: controlla i tuoi standard crittografici raggruppando i certificati in base all'algoritmo della chiave foglia (ad esempio, RSA o ECDSA). In questo modo viene garantita la conformità alle norme di sicurezza della tua organizzazione.
• Visualizza i certificati attivi per profilo di utilizzo delle chiavi: raggruppa i certificati in base al loro utilizzo previsto. Certificate Manager etichetta i certificati in base al profilo corrispondente più vicino. Se non è possibile determinare un profilo, questo viene etichettato come Altro.

Per visualizzare i certificati specifici in una di queste categorie, fai clic su Visualizza certificati per aprire la pagina dell'inventario.

Monitorare le tendenze di emissione dei certificati

Utilizza il grafico Metriche di emissione per monitorare la generazione di certificati nel tempo da parte dei servizi configurati. Questo approccio ti aiuta a monitorare la crescita e identificare potenziali anomalie di emissione.

Per monitorare le tendenze di emissione, monitora le seguenti metriche:

1. Certificati emessi per località: osserva il numero di certificati emessi in ogni località per visualizzare la distribuzione geografica del volume dei certificati.
2. Certificati emessi per tipo di autorità: osserva il numero di certificati emessi da CA pubbliche (ad esempio Public Certificate Authority) rispetto a CA private (ad esempio CA Service).
3. Totale certificati emessi: monitora il volume totale di certificati emessi nell'intervallo di tempo selezionato per comprendere la scala del tuo ambiente.

Passaggi successivi

• Come funziona Certificate Manager (2ª generazione.)
• Confrontare le versioni di Certificate Manager
• Visualizzare l'inventario dei certificati
• Creare una configurazione di emissione
• Monitorare le risorse utilizzando Cloud Monitoring