Zertifikat mit der Google Cloud Console ausstellen

Auf dieser Seite wird erläutert, wie Sie mit der Google Cloud Console über den Zertifizierungsstellendienst Zertifikate generieren oder ausstellen.

Mit CA Service können Sie private Zertifizierungsstellen bereitstellen und verwalten, ohne die Infrastruktur verwalten zu müssen.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

CA-Pool erstellen

Ein Zertifizierungsstellenpool besteht aus mehreren Zertifizierungsstellen. Ein Zertifizierungsstellenpool bietet die Möglichkeit, Vertrauensketten ohne Ausfallzeiten für Arbeitslasten zu rotieren. Ein CA-Pool befindet sich an einem einzigen Google Cloud Speicherort, der nach der Erstellung nicht mehr geändert werden kann.

So erstellen Sie einen CA-Pool mit den Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf dem Tab CA-Poolmanager auf Pool erstellen.

  3. Geben Sie auf der Seite CA-Pool erstellen einen Namen für den CA-Pool ein.

  4. Klicken Sie auf Region und wählen Sie us-east1 (South Carolina) als Region des Zertifizierungsstellenpools aus.

  5. Klicken Sie bei jedem Schritt auf Weiter.

  6. Klicken Sie auf Fertig.

Sie finden diesen CA-Pool in der Liste der CA-Pools auf dem Tab CA-Poolmanager.

Stamm-CA erstellen

Ein CA-Pool ist beim Erstellen leer. Sie müssen dem CA-Pool eine Zertifizierungsstelle hinzufügen, um Zertifikate anzufordern.

Eine Stammzertifizierungsstelle hat ein selbst signiertes Zertifikat, das sich im Truststore des Clients befindet. In diesem Abschnitt wird beschrieben, wie Sie dem von Ihnen erstellten CA-Pool eine Root-CA hinzufügen.

So fügen Sie Ihrem CA-Pool eine Root-CA hinzu:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA Manager.
  2. Klicken Sie auf den Aufklapppfeil  neben CA erstellen und wählen Sie dann CA in vorhandenem CA-Pool erstellen aus.
  3. Wählen Sie den CA-Pool aus, den Sie im vorherigen Schritt erstellt haben.
  4. Klicken Sie auf Weiter.
  5. Klicken Sie im Bereich CA-Typ auswählen auf Weiter.
  6. Geben Sie im Feld Organisation (O) den Namen Ihrer Organisation ein.
  7. Geben Sie im Feld Allgemeiner CA-Name (CN) den Namen der Zertifizierungsstelle ein. Notieren Sie sich den Namen der Zertifizierungsstelle, da Sie ihn für die Anforderung eines Zertifikats benötigen.
  8. Klicken Sie bei jedem Schritt auf Weiter.
  9. Überprüfen Sie die Details der Zertifizierungsstelle und klicken Sie auf Fertig.

Optional: Untergeordneten CA-Pool erstellen

Mit einem untergeordneten CA-Pool können Sie mehrere untergeordnete CAs organisieren und verwalten. Die Stamm-CA validiert und signiert alle CAs in einem untergeordneten CA-Pool.

So erstellen Sie einen untergeordneten CA-Pool mit den Standardeinstellungen:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA-Poolmanager.
  2. Klicken Sie auf Pool erstellen.

  3. Geben Sie auf der Seite CA-Pool erstellen einen Namen für den untergeordneten CA-Pool ein.

  4. Klicken Sie auf Region und wählen Sie us-east1 (South Carolina) als Region des untergeordneten Zertifizierungsstellenpools aus.

  5. Klicken Sie bei jedem Schritt auf Weiter.

  6. Klicken Sie auf Fertig.

Prüfen Sie, ob der untergeordnete CA-Pool in der Liste der CA-Pools auf dem Tab CA-Poolmanager verfügbar ist.

Optional: Erstellen Sie eine untergeordnete Zertifizierungsstelle, die von einer Root-Zertifizierungsstelle signiert wird, die in Google Cloud

Untergeordnete Zertifizierungsstellen sind für die Verteilung von Zertifikaten an die Endentitäten verantwortlich, die sie benötigen, z. B. Webserver, Nutzer und Geräte. Untergeordnete Zertifizierungsstellen schaffen eine Trennungsschicht zwischen der hochsensiblen Stammzertifizierungsstelle und der täglichen Zertifikatsausstellung.

So generieren Sie eine untergeordnete Zertifizierungsstelle, die von einer zuvor erstellten Stamm-CA signiert wird:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA Manager.
  2. Klicken Sie auf den Aufklapppfeil  neben CA erstellen und wählen Sie dann CA in vorhandenem CA-Pool erstellen aus.
  3. Wählen Sie den von Ihnen erstellten untergeordneten CA-Pool aus.
  4. Klicken Sie auf Weiter.
  5. Klicken Sie auf Untergeordnete Zertifizierungsstelle.
  6. Klicken Sie auf Stamm-CA befindet sich in Google Cloud.
  7. Klicken Sie im Feld Unterzeichnende Zertifizierungsstelle auf Durchsuchen.
  8. Wählen Sie im Dialogfeld CA auswählen die Stamm-CA aus, die Sie im vorherigen Abschnitt erstellt haben.
  9. Klicken Sie auf Bestätigen.
  10. Geben Sie im Feld Gültig bis die Dauer ein, für die das untergeordnete CA-Zertifikat gültig sein soll.
  11. Klicken Sie auf Weiter.
  12. Geben Sie im Feld Organisation (O) den Namen Ihrer Organisation ein.
  13. Geben Sie im Feld Allgemeiner CA-Name (CN) den Namen der untergeordneten Zertifizierungsstelle ein. Notieren Sie sich den Namen der untergeordneten Zertifizierungsstelle, da Sie ihn für die Anforderung eines Zertifikats benötigen.
  14. Klicken Sie bei jedem Schritt auf Weiter.
  15. Überprüfen Sie die Details der untergeordneten Zertifizierungsstelle und klicken Sie auf Fertig.

Zertifikat anfordern

So fordern Sie ein Zertifikat über die Zertifizierungsstelle an:

  1. Klicken Sie auf der Seite Zertifizierungsstelle auf Zertifikat anfordern.

  2. Klicken Sie auf Details eingeben.

    Klicken Sie auf „Details eingeben“, um ein Zertifikat anzufordern.

  3. Geben Sie unter Domainnamen hinzufügen den voll qualifizierten Domainnamen der Website ein, die Sie mit diesem Zertifikat sichern möchten.

  4. Klicken Sie auf Weiter.

  5. Klicken Sie unter Schlüsselgröße und Algorithmus konfigurieren auf Weiter.

    Das generierte Zertifikat wird angezeigt. Sie können es kopieren oder herunterladen. Klicken Sie auf , um das Zertifikat zu kopieren.

    Kopieren oder laden Sie das generierte Zertifikat herunter.

  6. Klicken Sie auf Fertig.

Bereinigen

Führen Sie eine Bereinigung durch, indem Sie das Zertifikat widerrufen und den CA-Pool, die CA und das Projekt löschen, das Sie für diese Kurzanleitung erstellt haben.

  1. Widerrufen Sie das Zertifikat.

    1. Klicken Sie auf den Tab Privater Zertifikatmanager.
    2. Klicken Sie in der Liste der Zertifikate in der Zeile des Zertifikats, das Sie löschen möchten, auf Mehr anzeigen.
    3. Klicken Sie auf Aufheben.
    4. Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.

  2. Löschen Sie die Zertifizierungsstelle.

    Sie können eine Zertifizierungsstelle erst löschen, nachdem Sie alle von ihr ausgestellten Zertifikate widerrufen haben.

    Gehen Sie nach dem Widerruf des Zertifikats so vor:

    1. Wählen Sie in der Liste der Zertifizierungsstellen die Zertifizierungsstelle aus, die Sie löschen möchten.
    2. Klicken Sie auf Löschen. Das Dialogfeld Zertifizierungsstelle löschen wird angezeigt.
    3. Optional: Setzen Sie ein Häkchen in eines oder beide der folgenden Kästchen, wenn die Bedingungen auf Sie zutreffen:

      • Diese Zertifizierungsstelle löschen, auch wenn aktive Zertifikate vorhanden sind

        Mit dieser Option können Sie eine Zertifizierungsstelle mit aktiven Zertifikaten löschen. Wenn Sie eine Zertifizierungsstelle mit aktiven Zertifikaten löschen, kann dies dazu führen, dass Websites, Anwendungen oder Systeme, die auf diese Zertifikate angewiesen sind, nicht mehr funktionieren. Wir empfehlen, alle aktiven Zertifikate aufzuheben, die von einer Zertifizierungsstelle ausgestellt wurden, bevor Sie die Zertifizierungsstelle löschen.

      • Kulanzzeitraum von 30 Tagen überspringen und CA sofort löschen

        Während des 30-tägigen Kulanzzeitraums haben Sie Zeit, alle von dieser Zertifizierungsstelle ausgestellten Zertifikate zu widerrufen und zu prüfen, ob keine Systeme von dieser Zertifizierungsstelle abhängen. Wir empfehlen, diese Option nur in nicht produktiven oder Testumgebungen zu verwenden, um potenzielle Ausfälle und Datenverluste zu vermeiden.

    4. Klicken Sie auf Bestätigen.

    Der Status der Zertifizierungsstelle ändert sich in Deleted. Die CA wird 30 Tage, nachdem Sie die Löschung veranlasst haben, endgültig gelöscht.

  3. Löschen Sie den CA-Pool.

    Sie können einen CA-Pool erst löschen, nachdem die Zertifizierungsstelle vom CA Service endgültig gelöscht wurde.

    Nachdem Sie die Zertifizierungsstelle im CA-Pool gelöscht haben, gehen Sie so vor:

    1. Klicken Sie auf den Tab CA-Poolmanager.
    2. Wählen Sie in der Liste der CA-Pools den CA-Pool aus, den Sie löschen möchten.
    3. Klicken Sie auf Löschen.
      4. CA-Pool endgültig löschen
    4. Klicken Sie im angezeigten Dialogfeld auf Bestätigen.

  4. So löschen Sie das Projekt:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

Nächste Schritte