Gestione delle voci delle mappe dei certificati

Una voce mappa di certificati associa un certificato a un nome host di destinazione e a una mappa di certificati di destinazione. Questa pagina descrive come creare e gestire le voci della mappa dei certificati.

Per saperne di più, consulta la sezione Voci della mappa dei certificati.

Creare una voce mappa di certificati

Puoi creare una voce della mappa dei certificati e associarvi un massimo di quattro certificati. Ti consigliamo di utilizzare un algoritmo di chiave diverso per ogni certificato quando specifichi più certificati per un nome host. Ad esempio, puoi utilizzare ECDSA per un certificato e RSA per un altro. L'associazione di più certificati a una singola voce della mappa di certificati è utile anche per la migrazione dei certificati autogestiti a quelli gestiti da Google.

Per associare più certificati a una voce della mappa di certificati, fornisci un elenco di nomi di certificati separati da virgole. Per ogni sottodominio, devi creare una voce di mappatura dei certificati separata.

gcloud

Per creare una voce della mappa dei certificati, utilizza il comando gcloud certificate-manager maps entries create:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --hostname="HOSTNAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_NAMES: un elenco separato da virgole dei nomi dei certificati che vuoi associare a questa voce della mappa dei certificati.
  • HOSTNAME: il nome host che vuoi associare alla voce della mappa dei certificati.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
 hostname: "HOSTNAME"
 certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • HOSTNAME: il nome host che vuoi associare alla voce della mappa dei certificati.
  • CERTIFICATE_NAME1: il nome del primo certificato che vuoi associare a questa voce della mappa dei certificati.
  • CERTIFICATE_NAME2: il nome del secondo certificato che vuoi associare a questa voce della mappa dei certificati.

Terraform

Per creare una voce della mappa dei certificati, puoi utilizzare una risorsa google_certificate_manager_certificate_map_entry.

resource "google_certificate_manager_certificate_map_entry" "default" {
  name        = "${local.name}-first-entry-${random_id.tf_prefix.hex}"
  description = "example certificate map entry"
  map         = google_certificate_manager_certificate_map.default.name
  labels = {
    "terraform" : true
  }
  certificates = [google_certificate_manager_certificate.default.id]
  hostname     = local.domain
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta Logica di selezione dei certificati.

Crea una voce mappa di certificati principale

Puoi specificare un certificato principale da utilizzare per il bilanciatore del carico se il client non fornisce un nome host o se il bilanciatore del carico non riesce a trovare una corrispondenza tra il nome host e una voce della mappa dei certificati configurata.

gcloud

Per creare una voce della mappa dei certificati principale, utilizza il comando gcloud certificate-manager maps entries create con il flag set-primary:

gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAMES" \
    --set-primary

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_NAMES: un elenco separato da virgole dei nomi dei certificati che vuoi associare a questa voce della mappa dei certificati.

API

Crea la voce della mappa dei certificati inviando una richiesta POST al metodo certificateMaps.certificateMapEntries.create come segue:

POST /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?certificate_map_entry_id=CERTIFICATE_MAP_ENTRY_NAME"
{
   matcher: "PRIMARY",
   certificates: ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME1","projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME2"]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_NAME1: il nome del primo certificato che vuoi associare alla voce della mappa di certificati principale.
  • CERTIFICATE_NAME2: il nome del secondo certificato che vuoi associare alla voce della mappa di certificati principale.

Per informazioni su come il bilanciatore del carico seleziona i certificati durante un handshake, consulta Logica di selezione dei certificati.

Aggiornare una voce della mappa dei certificati

Quando aggiorni una voce della mappa dei certificati, puoi:

  • Assegnare o annullare l'assegnazione di certificati
  • Modificare la descrizione
  • Modificare le etichette

gcloud

Per aggiornare una voce della mappa dei certificati, utilizza il comando gcloud certificate-manager maps entries update:

gcloud certificate-manager maps entries update CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME" \
    --certificates="CERTIFICATE_NAME,CERTIFICATE_NAME" \
    --description="DESCRIPTION" \
    --update-labels="LABELS"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_NAME: il nome del certificato che vuoi associare alla voce della mappa dei certificati.
  • DESCRIPTION: una descrizione significativa per questa voce della mappa dei certificati.
  • LABELS: un elenco di etichette applicate a questa voce della mappa dei certificati.

API

Aggiorna la voce della mappa dei certificati inviando una richiesta PATCH al metodo certificateMaps.certificateMapEntries.patch come segue:

PATCH  /v1/projects/example-project/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME?updateMask=labels,description,certificates
{
  "certificates": ["projects/PROJECT_ID/locations/global/certificates/CERTIFICATE_NAME"],
  "description": "DESCRIPTION",
  "labels": { "LABEL_KEY": "LABEL_VALUE" }
}

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_NAME: il nome del certificato.
  • DESCRIPTION: una descrizione significativa per questa voce della mappa dei certificati.
  • LABEL_KEY: una chiave di etichetta applicata a questa voce della mappa dei certificati.
  • LABEL_VALUE: un valore dell'etichetta applicato a questa voce della mappa dei certificati.

Elenca le voci delle mappe di certificati

Puoi elencare, filtrare e ordinare tutte le voci della mappa dei certificati configurate del progetto.

Console

  1. Nella console Google Cloud , vai alla scheda Mappe dei certificati nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Fai clic sul nome della mappa di certificati che contiene le voci della mappa. La pagina Dettagli mappa dei certificati mostra informazioni dettagliate sulla mappa dei certificati selezionata e sull'elenco delle voci della mappa associato.

gcloud 

gcloud certificate-manager maps entries list --map=CERTIFICATE_MAP_NAME \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato della pubblicazione: --filter='state=ACTIVE'
    • Matcher (impostato come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data/ora creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtraggio dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • LIMIT: il numero massimo di risultati da restituire.

  • SORT_BY: un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, anteponi al campo una tilde (~).

API

Elenca le voci della mappa di certificati configurate all'interno di una determinata mappa di certificati inviando una richiesta LIST al metodo certificateMaps.certificateMapEntries.list come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_MAP_NAME: il nome della mappa dei certificati di destinazione.

  • FILTER: un'espressione che limita i risultati restituiti a valori specifici.

    Ad esempio, puoi filtrare i risultati in base ai seguenti criteri:

    • Stato della pubblicazione: --filter='state=ACTIVE'
    • Matcher (impostato come principale): --filter='-matcher=PRIMARY'
    • Nome host: --filter='hostname=example.com'
    • Certificati assegnati: --filter='certificates:my-cert'
    • Etichette e data/ora creazione: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Per altri esempi di filtri che puoi utilizzare con Certificate Manager, consulta Ordinamento e filtraggio dei risultati dell'elenco nella documentazione di Cloud Key Management Service.

  • PAGE_SIZE: il numero di risultati da restituire per pagina.

  • SORT_BY: un elenco delimitato da virgole di campi name in base ai quali vengono ordinati i risultati restituiti. L'ordinamento predefinito è crescente; per l'ordinamento decrescente, anteponi al campo una tilde (~).

Visualizzare lo stato di una voce della mappa dei certificati

Puoi visualizzare lo stato di una voce della mappa dei certificati.

Console

  1. Nella console Google Cloud , vai alla scheda Mappe dei certificati nella pagina Certificate Manager.

    Vai a Certificate Manager

  2. Fai clic sul nome della mappa di certificati che contiene le voci della mappa. La pagina Dettagli mappa dei certificati mostra informazioni dettagliate sulla mappa dei certificati selezionata e sull'elenco associato di voci della mappa.

  3. Nella sezione Voci della mappatura, fai clic sul nome della voce della mappatura che vuoi visualizzare. La pagina Dettagli voce mappa mostra informazioni dettagliate sulla voce mappa selezionata.

gcloud 

gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.

API

Visualizza lo stato della voce della mappa dei certificati inviando una richiesta GET al metodo certificateMaps.certificateMapEntries.get come segue:

GET /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.

Eliminare una voce mappa di certificati

L'eliminazione di una voce mappa di certificati scollega i certificati associati alla voce mappa di certificati dal proxy di destinazione. L'eliminazione di una voce della mappa dei certificati non elimina i certificati associati da Google Cloud. Devi eliminare manualmente questi certificati.

gcloud 

gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \
    --map="CERTIFICATE_MAP_NAME"

Sostituisci quanto segue:

  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.

API

Elimina una voce della mappa dei certificati inviando una richiesta DELETE al metodo certificateMaps.certificateMapEntries.delete come segue:

DELETE /v1/projects/PROJECT_ID/locations/global/certificateMaps/CERTIFICATE_MAP_NAME/certificateMapEntries/CERTIFICATE_MAP_ENTRY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del Google Cloud progetto.
  • CERTIFICATE_MAP_NAME: il nome della mappa di certificati a cui è collegata la voce della mappa di certificati.
  • CERTIFICATE_MAP_ENTRY_NAME: il nome della voce della mappa dei certificati.

Passaggi successivi