Einstellungen der Zertifizierungsstelle ermitteln

Auf dieser Seite finden Sie Informationen zu den verschiedenen Einstellungen einer Zertifizierungsstelle.

Dauerhafte Einstellungen

Sie können die in diesem Abschnitt genannten Einstellungen nach dem Erstellen der Zertifizierungsstelle nicht mehr ändern.

Dienstspezifische Einstellungen

Zertifizierungsstellentyp

Mit CA Service können Sie sowohl Stamm-CAs als auch untergeordnete Zertifizierungsstellen erstellen.

Stamm-CA	Untergeordnete CA
Eine Stamm-CA ist eine selbst signierte Zertifizierungsstelle. Parteien, die Zertifikate authentifizieren müssen, die von einer Root-Zertifizierungsstelle (einer vertrauenden Partei) erstellt wurden, müssen ihr CA-Zertifikat im Voraus kennen. Das Root-CA-Zertifikat wird oft als Vertrauensanker bezeichnet. Es ist schwierig, eine Root-Zertifizierungsstelle häufig zu ändern. Wenn Sie die Stammzertifizierungsstelle ändern möchten, müssen Sie zuerst alle vertrauenden Parteien über den neuen Trust-Anchor aktualisieren. Andernfalls können sie keine Zertifikate der neuen Stamm-CA authentifizieren. Stamm-CAs können nicht mit den Zertifikatssperrlisten der ausstellenden Zertifizierungsstelle widerrufen werden, da sie selbst signiert sind. Wenn Sie eine Root-Zertifizierungsstelle widerrufen möchten, müssen Sie sie aus dem Trust Store jedes Clients entfernen, der ihr vertraut. Dieser Prozess kann lang und mühsam sein. Daher empfehlen wir, die Root-Zertifizierungsstellen zu schützen.	Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, die von einer Stammzertifizierungsstelle oder einer anderen untergeordneten Zertifizierungsstelle signiert wird. Nach einer Kette untergeordneter Zertifizierungsstellen endet die Kette immer mit einer Stamm-CA. Eine vertrauende Partei, die nur eine Stammzertifizierungsstelle kennt, kann auch implizit einer untergeordneten Zertifizierungsstelle vertrauen, die mit dem explizit vertrauenswürdigen Stamm-CA-Zertifikat verkettet wird. Die untergeordnete Zertifizierungsstelle kann nur dann als vertrauenswürdig eingestuft werden, wenn die vertrauende Partei die Zertifikatskette kryptografisch validieren kann, die einen Pfad zum Root-CA-Zertifikat bildet. Eine Kette, die eine Stammzertifizierungsstelle und eine oder mehrere untergeordnete Zertifizierungsstellen enthält, kann Zertifizierungsstellen enthalten, die im CA-Dienst verwaltet werden, und Zertifizierungsstellen, die nicht verwaltet werden.

Stamm-CA

Untergeordnete CA

Eine Stamm-CA ist eine selbst signierte Zertifizierungsstelle. Parteien, die Zertifikate authentifizieren müssen, die von einer Root-Zertifizierungsstelle (einer vertrauenden Partei) erstellt wurden, müssen ihr CA-Zertifikat im Voraus kennen. Das Root-CA-Zertifikat wird oft als Vertrauensanker bezeichnet.

Es ist schwierig, eine Root-Zertifizierungsstelle häufig zu ändern. Wenn Sie die Stammzertifizierungsstelle ändern möchten, müssen Sie zuerst alle vertrauenden Parteien über den neuen Trust-Anchor aktualisieren. Andernfalls können sie keine Zertifikate der neuen Stamm-CA authentifizieren.

Stamm-CAs können nicht mit den Zertifikatssperrlisten der ausstellenden Zertifizierungsstelle widerrufen werden, da sie selbst signiert sind. Wenn Sie eine Root-Zertifizierungsstelle widerrufen möchten, müssen Sie sie aus dem Trust Store jedes Clients entfernen, der ihr vertraut. Dieser Prozess kann lang und mühsam sein. Daher empfehlen wir, die Root-Zertifizierungsstellen zu schützen.

Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, die von einer Stammzertifizierungsstelle oder einer anderen untergeordneten Zertifizierungsstelle signiert wird. Nach einer Kette untergeordneter Zertifizierungsstellen endet die Kette immer mit einer Stamm-CA.

Eine vertrauende Partei, die nur eine Stammzertifizierungsstelle kennt, kann auch implizit einer untergeordneten Zertifizierungsstelle vertrauen, die mit dem explizit vertrauenswürdigen Stamm-CA-Zertifikat verkettet wird. Die untergeordnete Zertifizierungsstelle kann nur dann als vertrauenswürdig eingestuft werden, wenn die vertrauende Partei die Zertifikatskette kryptografisch validieren kann, die einen Pfad zum Root-CA-Zertifikat bildet.

Eine Kette, die eine Stammzertifizierungsstelle und eine oder mehrere untergeordnete Zertifizierungsstellen enthält, kann Zertifizierungsstellen enthalten, die im CA-Dienst verwaltet werden, und Zertifizierungsstellen, die nicht verwaltet werden.

Cloud KMS-Schlüssel

Neue Zertifizierungsstellen verwenden standardmäßig einen von Google verwalteten Cloud Key Management Service-Schlüssel (Cloud KMS). Sie können einen bestimmten Schlüsselalgorithmus für den von Google verwalteten Cloud KMS-Schlüssel auswählen. Alternativ können Sie dem CA-Dienst Zugriff auf einen bereits vorhandenen Schlüssel gewähren. Weitere Informationen finden Sie unter Schlüsselalgorithmus auswählen.

Weitere Informationen zu den Verwaltungsmodellen für Cloud KMS-Schlüssel und Cloud Storage-Buckets finden Sie unter Ressourcen verwalten.

Cloud Storage-Bucket

Standardmäßig erstellt CA Service einen neuen von Google verwalteten Cloud Storage-Bucket am selben Standort wie die Zertifizierungsstelle. Sie können auch einen vorhandenen selbstverwalteten Bucket verwenden oder einen neuen Bucket erstellen. Um die Latenz beim Veröffentlichen von Zertifikatssperrlisten zu minimieren, sollten Sie den Cloud Storage-Bucket am selben Speicherort wie Ihre Zertifizierungsstelle erstellen. Weitere Informationen finden Sie unter Ressourcen verwalten.

CA-Zertifikateinstellungen

Die folgenden Einstellungen spiegeln sich direkt im Zertifikat der Zertifizierungsstelle wider:

Einstellung	Beschreibung
Lebensdauer	Gibt die Lebensdauer einer Zertifizierungsstelle an. Die Lebensdauer ist der Zeitraum ab dem Erstellen der Zertifizierungsstelle, für den die Zertifizierungsstelle gültig ist.
Betreff	Eine Zertifizierungsstelle kann einen Distinguished Name und alternative Antragstellernamen angeben. In vielen Fällen dienen diese Felder nur zur Information. Eine vertrauende Partei kann jedoch Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, mit bestimmten Betreffattributen unterschiedlich behandeln. Wenn Sie einen alternativen Antragstellernamen für das Zertifikat Ihrer Zertifizierungsstelle angeben möchten, müssen Sie die Google Cloud CLI verwenden.

Einstellung

Beschreibung

Lebensdauer

Gibt die Lebensdauer einer Zertifizierungsstelle an. Die Lebensdauer ist der Zeitraum ab dem Erstellen der Zertifizierungsstelle, für den die Zertifizierungsstelle gültig ist.

Betreff

Eine Zertifizierungsstelle kann einen Distinguished Name und alternative Antragstellernamen angeben. In vielen Fällen dienen diese Felder nur zur Information. Eine vertrauende Partei kann jedoch Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, mit bestimmten Betreffattributen unterschiedlich behandeln.

Wenn Sie einen alternativen Antragstellernamen für das Zertifikat Ihrer Zertifizierungsstelle angeben möchten, müssen Sie die Google Cloud CLI verwenden.

Optionale CA-Einstellungen

Die folgenden CA-Einstellungen sind optional. Sie können die folgende Einstellung nach dem Erstellen der Zertifizierungsstelle ändern.

Einstellung	Beschreibung
Label	Einer Zertifizierungsstelle können ein oder mehrere Nutzerlabels zugeordnet sein. Labels haben für CA Service keine semantische Bedeutung.

Einstellungen der Zertifizierungsstelle ermitteln

Dauerhafte Einstellungen

Dienstspezifische Einstellungen

CA-Zertifikateinstellungen

Optionale CA-Einstellungen

Nächste Schritte