Gestisci certificati

Questa pagina descrive come utilizzare Certificate Manager per creare e gestire i certificati TLS (Transport Layer Security) (in precedenza SSL).

Per saperne di più, vedi Certificati TLS supportati.

Crea un certificato gestito da Google

Certificate Manager ti consente di creare certificati gestiti da Google nei seguenti modi:

  • Certificati gestiti da Google con autorizzazione del bilanciatore del carico (globale)
  • Certificati gestiti da Google con autorizzazione DNS (globale, regionale e interregionale)
  • Certificati gestiti da Google con Certificate Authority Service (servizio CA) (globale, regionale e cross-regionale)

Autorizzazione bilanciatore del carico

L'autorizzazione del bilanciatore del carico ti consente di ottenere un certificato gestito da Google per il tuo dominio quando il traffico viene gestito dal bilanciatore del carico. Questo metodo non richiede record DNS aggiuntivi per il provisioning dei certificati. Puoi utilizzare le autorizzazioni del bilanciatore del carico per i nuovi ambienti senza traffico esistente. Per informazioni su quando utilizzare l'autorizzazione del bilanciatore del carico con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.

Puoi creare certificati gestiti da Google con l'autorizzazione del bilanciatore del carico solo nella località global. I certificati autorizzati del bilanciatore del carico non supportano i domini con caratteri jolly.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete del proxy esterno globale.
    • Edge cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Non puoi utilizzare l'autorizzazione del bilanciatore del carico con una località regionale o l'ambito Tutte le regioni.

  7. In Tipo di certificato, seleziona Crea certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Pubblica.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  10. In Tipo di autorizzazione, seleziona Autorizzazione bilanciatore del carico.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google globale con autorizzazione del bilanciatore del carico, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Utilizza una risorsa google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAMES: un elenco delimitato da virgole dei domini di destinazione. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Autorizzazione DNS

Per utilizzare i certificati gestiti da Google prima che l'ambiente di produzione sia pronto, puoi eseguirne il provisioning con le autorizzazioni DNS. Per informazioni su quando utilizzare l'autorizzazione DNS con un certificato gestito da Google, consulta Tipi di autorizzazione del dominio per i certificati gestiti da Google.

Per gestire i certificati in modo indipendente in più progetti, puoi utilizzare l'autorizzazione DNS per progetto. Per informazioni sulla creazione di certificati con autorizzazione DNS per progetto, vedi Crea un'autorizzazione DNS.

Prima di creare il certificato:

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione del certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, seleziona la tua regione dall'elenco Regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete del proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Cache perimetrale: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località regionale.

  7. In Tipo di certificato, seleziona Crea certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Pubblica.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com. Il nome di dominio può anche essere un nome di dominio con caratteri jolly, ad esempio *.example.com.

  10. In Tipo di autorizzazione, seleziona Autorizzazione DNS.

    La pagina elenca le autorizzazioni DNS dei nomi di dominio. Se un nome di dominio non ha un'autorizzazione DNS associata, segui questi passaggi per crearne una:

    1. Fai clic su Crea autorizzazione DNS mancante.
    2. Nel campo Nome autorizzazione DNS, specifica il nome dell'autorizzazione DNS. Il tipo di autorizzazione DNS predefinito è FIXED_RECORD. Per gestire in modo indipendente i certificati in più progetti, seleziona la casella di controllo Autorizzazione per progetto.
    3. Fai clic su Crea autorizzazione DNS.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google con l'autorizzazione DNS, esegui il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com, o un dominio con caratteri jolly, ad esempio *.myorg.example.com. Il prefisso asterisco punto (*.) indica un certificato jolly.
  • AUTHORIZATION_NAMES: un elenco delimitato da virgole dei nomi delle autorizzazioni DNS.
  • LOCATION: la posizione Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Utilizza una risorsa google_certificate_manager_certificate.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Crea il certificato inviando una richiesta POST al metodo certificates. create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Emesso dal servizio CA

Puoi integrare Certificate Manager con CA Service per emettere certificati gestiti da Google. Per emettere certificati globali gestiti da Google, utilizzi un pool di CA regionale in qualsiasi regione. Per emettere certificati regionali gestiti da Google, utilizza un pool di CA nella stessa regione del certificato.

Prima di creare il certificato, configura l'integrazione del servizio CA con Certificate Manager.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, seleziona la tua regione dall'elenco Regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete del proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Cache perimetrale: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località regionale.

  7. In Tipo di certificato, seleziona Crea certificato gestito da Google.

  8. In Tipo di autorità di certificazione, seleziona Privata.

  9. Nel campo Nomi di dominio, specifica un elenco di nomi di dominio del certificato separati da virgole. Ogni nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.

  10. Per Seleziona una configurazione per l'emissione del certificato, seleziona il nome della risorsa di configurazione per l'emissione del certificato che fa riferimento al pool di CA di destinazione.

  11. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  12. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato gestito da Google con Certificate Authority Service, utilizza il comandocertificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com, o un dominio con caratteri jolly, ad esempio *.myorg.example.com. Il prefisso asterisco punto (*.) indica un certificato jolly.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
  • LOCATION: la posizione Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

API

Crea il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • DOMAIN_NAME: il nome del dominio di destinazione. Il nome di dominio deve essere un nome di dominio completo, ad esempio myorg.example.com.
  • ISSUANCE_CONFIG_NAME: il nome della risorsa di configurazione dell'emissione di certificati che fa riferimento al pool di CA di destinazione.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Carica un certificato autogestito

Per caricare un certificato autogestito, carica il file del certificato (CRT) e il file della chiave privata (KEY) corrispondente. Puoi caricare certificati TLS (SSL) X.509 globali e regionali dei seguenti tipi:

  • Certificati generati da autorità di certificazione (CA) di terze parti a tua scelta.
  • Certificati generati dalle autorità di certificazione che controlli.
  • Certificati autofirmati, come descritto in Creare una chiave privata e un certificato.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, fai clic su Aggiungi certificato.

  3. Nel campo Nome certificato, inserisci un nome univoco per il certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una descrizione per il certificato. La descrizione ti consente di identificare il certificato.

  5. Per Località, seleziona Globale o Regionale.

    Se hai selezionato Regionale, seleziona la tua regione dall'elenco Regione.

  6. In Ambito, seleziona una delle seguenti opzioni:

    • Predefinito: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete del proxy esterno globale.
    • Tutte le regioni: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • Edge cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

    Il campo Ambito non è disponibile se hai selezionato una località regionale.

  7. In Tipo di certificato, seleziona Crea certificato autogestito.

  8. Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  9. Per il campo Certificato della chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona la chiave privata. La chiave privata deve essere in formato PEM e non protetta da una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  10. Nel campo Etichette, specifica le etichette da associare al certificato. Per aggiungere un'etichetta, fai clic su Aggiungi etichetta e specifica una chiave e un valore per l'etichetta.

  11. Fai clic su Crea.

    Il nuovo certificato viene visualizzato nell'elenco dei certificati.

gcloud

Per creare un certificato autogestito, utilizza il comando certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome file della chiave privata KEY.
  • LOCATION: la posizione Google Cloud di destinazione. Il valore predefinito è global.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Terraform

Per caricare un certificato autogestito, puoi utilizzare una risorsa google_certificate_manager_certificate con il blocco self_managed.

API

Carica il certificato inviando una richiesta POST al metodo certificates.create come segue:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il PEM del certificato.
  • PEM_KEY: il PEM della chiave.
  • SCOPE: inserisci una delle seguenti opzioni:
    • default: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni esterno globale o il bilanciatore del carico di rete proxy esterno globale.
    • all-regions: se prevedi di utilizzare il certificato con il bilanciatore del carico delle applicazioni interno tra regioni.
    • edge-cache: se prevedi di utilizzare il certificato con Media CDN e specificare più domini nel certificato.

Aggiornare un certificato

Puoi aggiornare un certificato esistente senza modificarne le assegnazioni ai nomi di dominio all'interno della mappa dei certificati corrispondente. Quando aggiorni un certificato, assicurati che i SAN nel nuovo certificato corrispondano esattamente ai SAN nel certificato esistente.

Certificati gestiti da Google

Per i certificati gestiti da Google, puoi aggiornare solo la descrizione e le etichette di un certificato.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, individua il certificato da aggiornare e poi fai clic sul nome del certificato. La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.

  3. Fai clic su Modifica. Viene visualizzata la pagina Modifica certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una nuova descrizione per il certificato.

  5. (Facoltativo) Puoi aggiungere, rimuovere o modificare le etichette associate al certificato. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta, quindi specifica un key e un value per l'etichetta.

  6. Fai clic su Salva. Nella pagina Dettagli certificato visualizzata, verifica che il certificato sia aggiornato.

gcloud

Per aggiornare un certificato gestito da Google, utilizza il comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione univoca del certificato.
  • LABELS: un elenco separato da virgole di etichette applicate a questo certificato.

API

Aggiorna il certificato inviando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione del certificato.
  • LABEL_KEY: una chiave di etichetta applicata al certificato.
  • LABEL_VALUE: un valore di etichetta applicato al certificato.

Certificati autogestiti

Per aggiornare un certificato autogestito, devi caricare i seguenti file con codifica PEM:

  • Il file CRT del certificato

  • Il file KEY della chiave privata corrispondente

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, individua il certificato da aggiornare e poi fai clic sul nome del certificato. La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.

  3. Fai clic su Modifica. Viene visualizzata la pagina Modifica certificato.

  4. (Facoltativo) Nel campo Descrizione, inserisci una nuova descrizione per il certificato.

  5. (Facoltativo) Per il campo Certificato, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e seleziona il file del certificato in formato PEM.
    • Copia e incolla i contenuti di un certificato in formato PEM. I contenuti devono iniziare con -----BEGIN CERTIFICATE----- e terminare con -----END CERTIFICATE-----.

  6. (Facoltativo) Per il campo Certificato di chiave privata, esegui una delle seguenti operazioni:

    • Fai clic sul pulsante Carica e poi seleziona la chiave privata. La chiave privata deve essere in formato PEM e non deve essere protetta da una passphrase.
    • Copia e incolla i contenuti di una chiave privata in formato PEM. Le chiavi private devono iniziare con -----BEGIN PRIVATE KEY----- e terminare con -----END PRIVATE KEY-----.

  7. (Facoltativo) Puoi aggiungere, rimuovere o modificare le etichette associate al certificato. Per aggiungere un'etichetta, fai clic sul pulsante Aggiungi etichetta, quindi specifica un key e un value per l'etichetta.

  8. Fai clic su Salva. Nella pagina Dettagli certificato visualizzata, verifica che il certificato sia aggiornato.

gcloud

Per aggiornare un certificato autogestito, utilizza il comando certificate-manager certificates update:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • CERTIFICATE_FILE: il percorso e il nome del file del certificato CRT.
  • PRIVATE_KEY_FILE: il percorso e il nome file della chiave privata KEY.
  • DESCRIPTION: un valore di descrizione univoco per questo certificato.
  • LABELS: un elenco separato da virgole di etichette applicate a questo certificato.
  • LOCATION: la posizione Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.

API

Aggiorna il certificato inviando una richiesta PATCH al metodo certificates.patch come segue:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione. Questo flag è facoltativo. Specifica questo flag solo per i certificati regionali.
  • CERTIFICATE_NAME: il nome del certificato.
  • PEM_CERTIFICATE: il PEM del certificato.
  • PEM_KEY: il PEM della chiave.
  • DESCRIPTION: una descrizione significativa del certificato.
  • LABEL_KEY: una chiave di etichetta applicata al certificato.
  • LABEL_VALUE: un valore di etichetta applicato al certificato.

Elenco dei certificati

Puoi visualizzare tutti i certificati del tuo progetto e i relativi dettagli, come regione, nomi host, data di scadenza e tipo.

Console

La pagina Certificate Manager nella console Google Cloud può visualizzare un massimo di 10.000 certificati. Se il tuo progetto contiene più di 10.000 certificati gestiti da Certificate Manager, utilizza il comando gcloud CLI.

Per visualizzare i certificati di cui è stato eseguito il provisioning da Gestore certificati:

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Fai clic sulla scheda Certificati. Questa scheda elenca tutti i certificati gestiti da Gestore certificati nel progetto selezionato.

Per visualizzare i certificati di cui è stato eseguito il provisioning tramite Cloud Load Balancing:

  1. Nella console Google Cloud , vai alla scheda Certificati classici nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati classici puoi visualizzare un elenco di tutti i certificati classici configurati nel progetto selezionato.

    I certificati classici non sono gestiti da Gestore certificati. Per ulteriori informazioni su come gestirli, consulta la documentazione su come utilizzare i certificati gestiti da Google o utilizzare i certificati autogestiti.

gcloud

Per elencare i certificati, utilizza il comando certificate-manager certificates list:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • LOCATION: la posizione Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza - come valore. Il valore predefinito è -. Questo flag è facoltativo.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Data/Ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'
    • Etichette e data/ora creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtraggio dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, anteponi al campo una tilde (~).

API

Elenca i certificati effettuando una richiesta LIST al metodo certificates.list come segue:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione. Per elencare i certificati di tutte le regioni, utilizza - come valore.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Data/Ora di scadenza: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • Nomi DNS SAN: --filter='san_dnsnames:"example.com"'
    • Stato del certificato: --filter='managed.state=FAILED'
    • Tipo di certificato: --filter='managed:*'

    • Etichette e data/ora creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtro dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, anteponi al campo una tilde (~).

Visualizzare lo stato di un certificato

Puoi visualizzare lo stato di un certificato esistente, inclusi lo stato di provisioning e altre informazioni dettagliate.

Console

Se il tuo progetto contiene più di 10.000 certificati gestiti da Certificate Manager, la pagina Certificate Manager nella consoleGoogle Cloud non li elencherà. Utilizza invece il comando gcloud CLI. Tuttavia, se hai un link diretto alla pagina Dettagli del certificato, puoi visualizzarne i dettagli nella console Google Cloud .

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella pagina visualizzata, seleziona la scheda Certificati.

  3. Nella scheda Certificati, vai al certificato di destinazione e fai clic sul nome del certificato. La pagina Dettagli certificato mostra informazioni dettagliate sul certificato selezionato.

  4. (Facoltativo) Per visualizzare la risposta REST dell'API Certificate Manager per questo certificato, fai clic su REST equivalente.

  5. (Facoltativo) Se il certificato ha una configurazione di emissione del certificato associata che vuoi visualizzare, fai clic sul nome della risorsa di configurazione di emissione del certificato associata nel campo Configurazione di emissione. La console Google Cloud mostra la configurazione completa della configurazione di emissione dei certificati.

gcloud

Per visualizzare lo stato di un certificato, utilizza il comando certificate-manager certificates describe:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • LOCATION: la posizione Google Cloud di destinazione. La posizione predefinita è global. Questo flag è facoltativo.

API

Visualizza lo stato del certificato inviando una richiesta GET al metodo certificates.get come segue:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.

Eliminare un certificato

Prima di eliminare un certificato, rimuovilo da tutte le voci della mappa dei certificati che lo fanno riferimento; in caso contrario, l'eliminazione non va a buon fine. Per saperne di più, vedi Eliminare una voce della mappa dei certificati.

Console

  1. Nella console Google Cloud , vai alla pagina Certificate Manager.

    Vai a Certificate Manager

  2. Nella scheda Certificati, seleziona la casella di controllo del certificato che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo visualizzata, fai clic su Elimina per confermare.

gcloud

Per eliminare un certificato, utilizza il comando certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Sostituisci quanto segue:

  • CERTIFICATE_NAME: il nome del certificato.
  • LOCATION: la posizione Google Cloud di destinazione. La posizione predefinita è global. Questo flag è facoltativo.

API

Elimina il certificato inviando una richiesta DELETE al metodo certificates.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • LOCATION: la posizione Google Cloud di destinazione.
  • CERTIFICATE_NAME: il nome del certificato.

Passaggi successivi