Emettere un certificato utilizzando la console Google Cloud

Questa pagina spiega come generare o emettere certificati tramite Certificate Authority Service utilizzando la console Google Cloud.

CA Service ti consente di eseguire il deployment e la gestione di autorità di certificazione private (CA) senza gestire l'infrastruttura.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

Crea un pool di CA

Un pool di CA è una raccolta di più CA. Un pool di CA consente di girare le catene di attendibilità senza interruzioni o tempi di inattività per i carichi di lavoro. Un pool di CA si trova in un'unica Google Cloud posizione che non puoi modificare dopo la creazione.

Per creare un pool di CA con le impostazioni predefinite, segui questi passaggi:

  1. Vai alla pagina Certificate Authority Service nella console Google Cloud.

    Vai a Certificate Authority Service

  2. Nella scheda Gestore pool di CA, fai clic su Crea pool.

  3. Nella pagina Crea pool di CA, aggiungi un nome per il pool di CA.

  4. Fai clic su Regione e seleziona us-east1 (Carolina del Sud) come regione del pool di CA.

  5. Fai clic su Avanti per ogni passaggio.

  6. Fai clic su Fine.

Puoi visualizzare questo pool di CA nell'elenco dei pool di CA nella scheda Gestore pool di CA.

Crea una CA radice

Un pool di CA è vuoto al momento della creazione. Per richiedere i certificati, devi aggiungere una CA al pool di CA.

Un'autorità di certificazione radice ha un certificato autofirmato che si trova nell'archivio di attendibilità del client. Questa sezione spiega come aggiungere una CA radice al pool di CA che hai creato.

Per aggiungere una CA radice al pool di CA:

  1. Nella pagina Certificate Authority Service (Servizio autorità di certificazione), fai clic su Gestore CA.
  2. Fai clic sulla freccia di espansione Crea CA e poi seleziona Crea CA in un pool di CA esistente.
  3. Seleziona il pool di CA che hai creato nel passaggio precedente.
  4. Fai clic su Continua.
  5. Nella sezione Seleziona il tipo CA, fai clic su Continua.
  6. Nel campo Organizzazione (O), inserisci il nome della tua organizzazione.
  7. Nel campo Nome comune CA (CN), inserisci il nome della CA. Prendi nota del nome della CA perché ti servirà per richiedere un certificato.
  8. Fai clic su Continua per ogni passaggio.
  9. Controlla i dettagli della CA e fai clic su Fine.

(Facoltativo) Crea un pool di CA subordinate

Un pool di CA secondarie ti consente di organizzare e gestire più CA secondarie. La CA radice convalida e firma tutte le CA all'interno di un pool di CA subordinate.

Per creare un pool di CA secondarie con le impostazioni predefinite, segui questi passaggi:

  1. Nella pagina Certificate Authority Service, fai clic su Gestore pool di CA.
  2. Fai clic su Crea pool.

  3. Nella pagina Crea pool di CA, aggiungi un nome per il pool di CA secondario.

  4. Fai clic su Regione e seleziona us-east1 (Carolina del Sud) come regione del pool di CA secondario.

  5. Fai clic su Avanti per ogni passaggio.

  6. Fai clic su Fine.

Assicurati che il pool di CA secondario sia disponibile nell'elenco dei pool di CA nella scheda Gestore pool di CA.

(Facoltativo) Crea una CA subordinata firmata da una CA radice archiviata in Google Cloud

Le CA subordinate sono responsabili della distribuzione dei certificati alle entità finali che ne hanno bisogno, come server web, utenti e dispositivi. Le CA subordinate creano un livello di separazione tra la CA radice altamente sensibile e l'emissione quotidiana dei certificati.

Per generare una CA subordinata firmata da una CA radice creata in precedenza, segui questi passaggi:

  1. Nella pagina Certificate Authority Service, fai clic su Gestore CA.
  2. Fai clic sulla freccia di espansione Crea CA e poi seleziona Crea CA in un pool di CA esistente.
  3. Seleziona il pool di CA secondario che hai creato.
  4. Fai clic su Continua.
  5. Fai clic su CA subordinata.
  6. Fai clic su La CA radice si trova in Google Cloud.
  7. Nel campo Autorità di certificazione di firma, fai clic su Sfoglia.
  8. Nella finestra di dialogo Seleziona una CA, seleziona la CA principale che hai creato nella sezione precedente.
  9. Fai clic su Conferma.
  10. Nel campo Valido per, inserisci la durata per la quale vuoi che il certificato dell'autorità di certificazione secondaria sia valido.
  11. Fai clic su Continua.
  12. Nel campo Organizzazione (O), inserisci il nome della tua organizzazione.
  13. Nel campo Nome comune CA (NC), inserisci il nome della CA subordinata. Prendi nota del nome della CA subordinata, perché ti servirà per richiedere un certificato.
  14. Fai clic su Continua per ogni passaggio.
  15. Esamina i dettagli della CA secondaria e fai clic su Fine.

Richiedi un certificato

Per richiedere un certificato utilizzando la CA:

  1. Nella pagina Autorità di certificazione, fai clic su Richiedi un certificato.

  2. Fai clic su Inserisci dettagli.

    Fai clic su Inserisci i dettagli per richiedere un certificato.

  3. In Aggiungi nome di dominio, inserisci il nome di dominio completo del sito che vuoi proteggere con questo certificato.

  4. Fai clic su Avanti.

  5. In Configura dimensioni e algoritmo della chiave, fai clic su Continua.

    Vedrai il certificato generato che puoi copiare o scaricare. Per copiare il certificato, fai clic su .

    Copia o scarica il certificato generato.

  6. Fai clic su Fine.

Esegui la pulizia

Esegui la pulizia revocando il certificato ed eliminando il pool di CA, la CA e il progetto che hai creato per questa guida rapida.

  1. Revoca il certificato.

    1. Fai clic sulla scheda Gestore certificati privati.
    2. Nell'elenco dei certificati, fai clic su Visualizza altro nella riga del certificato che vuoi eliminare.
    3. Fai clic su Revoca.
    4. Nella finestra di dialogo che si apre, fai clic su Conferma.

  2. Elimina la CA.

    Puoi eliminare una CA solo dopo aver revocato tutti i certificati rilasciati.

    Dopo aver revocato il certificato:

    1. Nell'elenco delle CA, seleziona quella che vuoi eliminare.
    2. Fai clic su Elimina. Viene visualizzata la finestra di dialogo Elimina autorità di certificazione.
    3. (Facoltativo) Seleziona una o entrambe le seguenti caselle di controllo se le condizioni si applicano al tuo caso:

      • Eliminare questa CA, anche se ci sono certificati attivi

        Questa opzione ti consente di eliminare una CA con certificati attivi. L'eliminazione di una CA con certificati attivi potrebbe causare il malfunzionamento di siti web, applicazioni o sistemi che si basano su questi certificati. Ti consigliamo di revocare tutti i certificati attivi emessi da una CA prima di eliminarla.

      • Salta il periodo di tolleranza di 30 giorni ed elimina questa CA immediatamente

        Il periodo di tolleranza di 30 giorni ti consente di revocare tutti i certificati emessi da questa CA e verificare che nessun sistema dipenda da questa CA. Ti consigliamo di utilizzare questa opzione solo in ambienti di test o non di produzione per evitare potenziali interruzioni e perdite di dati.

    4. Fai clic su Conferma.

    Lo stato della CA diventa Deleted. La CA viene eliminata definitivamente 30 giorni dopo l'avvio dell'eliminazione.

  3. Elimina il pool di CA.

    Puoi eliminare un pool di CA solo dopo che il servizio CA ha eliminato definitivamente la CA.

    Dopo aver eliminato la CA nel pool di CA, svolgi i seguenti passaggi:

    1. Fai clic sulla scheda Gestore pool di CA.
    2. Nell'elenco dei pool di CA, seleziona il pool di CA che vuoi eliminare.
    3. Fai clic su Elimina.
      4. Eliminare definitivamente un pool di CA.
    4. Nella finestra di dialogo che si apre, fai clic su Conferma.

  4. Per eliminare il progetto:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

Passaggi successivi