Diese Seite wurde von der Cloud Translation API übersetzt.

Einstellungen für die Zertifizierungsstelle festlegen

Auf dieser Seite finden Sie Informationen zu den verschiedenen Einstellungen einer Zertifizierungsstelle.

Dauerhafte Einstellungen

Die in diesem Abschnitt genannten Einstellungen können nach dem Erstellen der CA nicht mehr geändert werden.

Dienstspezifische Einstellungen

CA-Typ

Mit CA Service können Sie sowohl Stamm-CAs als auch untergeordnete CAs erstellen.

Stamm-CA	Untergeordnete CA
Eine Stammzertifizierungsstelle ist eine selbst signierte Zertifizierungsstelle. Parteien, die von einer Stamm-CA erstellte Zertifikate authentifizieren müssen (eine vertrauende Partei), müssen das Zertifikat der Zertifizierungsstelle im Voraus kennen. Das Stamm-CA-Zertifikat wird oft als Vertrauensanker bezeichnet. Das häufige Ändern einer Stamm-CA ist schwierig. Wenn Sie die Stamm-CA ändern möchten, müssen Sie zuerst alle vertrauenden Seiten über das neue Trust Anchor informieren. Andernfalls können sie keine Zertifikate der neuen Stamm-CA authentifizieren. Stamm-CAs können nicht mit den CRLs der ausstellenden CA widerrufen werden, da sie selbst signiert sind. Wenn Sie eine Root-CA widerrufen möchten, müssen Sie sie aus dem Truststore jedes einzelnen Clients entfernen, der ihr vertraut. Dieser Prozess kann langwierig und mühsam sein. Daher empfehlen wir, die Stamm-CAs zu schützen.	Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, die von einer Stamm-CA oder einer anderen untergeordneten Zertifizierungsstelle signiert wird. Eine Kette von untergeordneten Zertifizierungsstellen endet immer mit einer Stamm-Zertifizierungsstelle. Eine vertrauende Partei, die nur eine Stamm-Zertifizierungsstelle kennt, kann auch implizit einer untergeordneten Zertifizierungsstelle vertrauen, die mit dem explizit vertrauenswürdigen Stamm-Zertifizierungsstellenzertifikat verknüpft ist. Die untergeordnete Zertifizierungsstelle kann nur dann als vertrauenswürdig eingestuft werden, wenn die vertrauende Partei die Zertifikatskette, die einen Pfad zum Stamm-CA-Zertifikat bildet, kryptografisch validieren kann. Eine Kette, die eine Stamm-CA und eine oder mehrere untergeordnete Zertifizierungsstellen enthält, kann sowohl CAs umfassen, die im CA Service verwaltet werden, als auch solche, die nicht verwaltet werden.

Stamm-CA

Untergeordnete CA

Eine Stammzertifizierungsstelle ist eine selbst signierte Zertifizierungsstelle. Parteien, die von einer Stamm-CA erstellte Zertifikate authentifizieren müssen (eine vertrauende Partei), müssen das Zertifikat der Zertifizierungsstelle im Voraus kennen. Das Stamm-CA-Zertifikat wird oft als Vertrauensanker bezeichnet.

Das häufige Ändern einer Stamm-CA ist schwierig. Wenn Sie die Stamm-CA ändern möchten, müssen Sie zuerst alle vertrauenden Seiten über das neue Trust Anchor informieren. Andernfalls können sie keine Zertifikate der neuen Stamm-CA authentifizieren.

Stamm-CAs können nicht mit den CRLs der ausstellenden CA widerrufen werden, da sie selbst signiert sind. Wenn Sie eine Root-CA widerrufen möchten, müssen Sie sie aus dem Truststore jedes einzelnen Clients entfernen, der ihr vertraut. Dieser Prozess kann langwierig und mühsam sein. Daher empfehlen wir, die Stamm-CAs zu schützen.

Eine untergeordnete Zertifizierungsstelle ist eine Zertifizierungsstelle, die von einer Stamm-CA oder einer anderen untergeordneten Zertifizierungsstelle signiert wird. Eine Kette von untergeordneten Zertifizierungsstellen endet immer mit einer Stamm-Zertifizierungsstelle.

Eine vertrauende Partei, die nur eine Stamm-Zertifizierungsstelle kennt, kann auch implizit einer untergeordneten Zertifizierungsstelle vertrauen, die mit dem explizit vertrauenswürdigen Stamm-Zertifizierungsstellenzertifikat verknüpft ist. Die untergeordnete Zertifizierungsstelle kann nur dann als vertrauenswürdig eingestuft werden, wenn die vertrauende Partei die Zertifikatskette, die einen Pfad zum Stamm-CA-Zertifikat bildet, kryptografisch validieren kann.

Eine Kette, die eine Stamm-CA und eine oder mehrere untergeordnete Zertifizierungsstellen enthält, kann sowohl CAs umfassen, die im CA Service verwaltet werden, als auch solche, die nicht verwaltet werden.

Cloud KMS-Schlüssel

Standardmäßig verwenden neue Zertifizierungsstellen einen von Google verwalteten Cloud Key Management Service (Cloud KMS)-Schlüssel. Sie können einen bestimmten Schlüsselalgorithmus für den von Google verwalteten Cloud KMS-Schlüssel auswählen. Alternativ können Sie dem CA-Dienst Zugriff auf einen bereits vorhandenen Schlüssel gewähren. Weitere Informationen finden Sie unter Schlüsselalgorithmus auswählen.

Weitere Informationen zu den Verwaltungsmodellen für Cloud KMS-Schlüssel und Cloud Storage-Buckets finden Sie unter Ressourcen verwalten.

Cloud Storage-Bucket

Standardmäßig erstellt der CA-Dienst einen neuen von Google verwalteten Cloud Storage-Bucket am selben Speicherort wie die Zertifizierungsstelle. Sie können auch einen vorhandenen selbstverwalteten Bucket verwenden oder einen neuen Bucket erstellen. Um die Latenz beim Veröffentlichen von CRLs zu minimieren, empfehlen wir, den Cloud Storage-Bucket am selben Speicherort wie die Zertifizierungsstelle zu erstellen. Weitere Informationen finden Sie unter Ressourcen verwalten.

Einstellungen für CA-Zertifikate

Die folgenden Einstellungen werden direkt im eigenen Zertifikat der Zertifizierungsstelle berücksichtigt:

Einstellung	Beschreibung
Lebensdauer	Gibt die Lebensdauer einer Zertifizierungsstelle an. Die Lebensdauer ist der Zeitraum, ab der Erstellung der Zertifizierungsstelle, in dem sie gültig ist.
Betreff	Eine Zertifizierungsstelle kann einen Distinguished Name und alternative Antragstellernamen angeben. In vielen Fällen dienen diese Felder nur zu Informationszwecken. Eine vertrauende Partei kann jedoch Zertifikate, die von einer Zertifizierungsstelle mit bestimmten Subjektattributen ausgestellt wurden, anders behandeln. Wenn Sie einen alternativen Antragstellernamen für das Zertifikat Ihrer Zertifizierungsstelle angeben möchten, müssen Sie die Google Cloud CLI verwenden.

Einstellung

Beschreibung

Lebensdauer

Gibt die Lebensdauer einer Zertifizierungsstelle an. Die Lebensdauer ist der Zeitraum, ab der Erstellung der Zertifizierungsstelle, in dem sie gültig ist.

Betreff

Eine Zertifizierungsstelle kann einen Distinguished Name und alternative Antragstellernamen angeben. In vielen Fällen dienen diese Felder nur zu Informationszwecken. Eine vertrauende Partei kann jedoch Zertifikate, die von einer Zertifizierungsstelle mit bestimmten Subjektattributen ausgestellt wurden, anders behandeln.

Wenn Sie einen alternativen Antragstellernamen für das Zertifikat Ihrer Zertifizierungsstelle angeben möchten, müssen Sie die Google Cloud CLI verwenden.

Optionale CA-Einstellungen

Die folgenden CA-Einstellungen sind optional. Sie können die folgende Einstellung nach dem Erstellen der Zertifizierungsstelle ändern.

Einstellung	Beschreibung
Label	Einem Konto können ein oder mehrere Nutzerlabels zugewiesen werden. Labels haben für den CA-Dienst keine semantische Bedeutung.

Einstellungen für die Zertifizierungsstelle festlegen

Dauerhafte Einstellungen

Dienstspezifische Einstellungen

Einstellungen für CA-Zertifikate

Optionale CA-Einstellungen

Nächste Schritte