CA-Pool erstellen

Console

Namen für den CA-Pool auswählen

1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Klicken Sie auf CA-Poolmanager.

3. Klicken Sie auf add_boxPool erstellen.

4. Geben Sie einen eindeutigen Namen für den CA-Pool für die Region ein.

5. Wählen Sie im Feld Region eine Region aus dem Drop-down-Menü aus. Weitere Informationen finden Sie unter Besten Standort auswählen.

6. Wählen Sie entweder die Enterprise- oder die DevOps-Stufe aus. Weitere Informationen finden Sie unter Betriebsstufen auswählen.

7. Klicken Sie auf Weiter.

Zulässige Schlüsselalgorithmen und ‑größen konfigurieren

Mit CA Service können Sie die Signaturalgorithmen für die Cloud KMS-Schlüssel auswählen, die die CAs im CA-Pool unterstützen. Standardmäßig sind alle Schlüsselalgorithmen zulässig.

So beschränken Sie die zulässigen Schlüssel in den vom CA-Pool ausgestellten Zertifikaten: Dieser Vorgang ist optional.

1. Klicken Sie auf die Ein/Aus-Schaltfläche.
2. Klicken Sie auf Element hinzufügen.

3. Wählen Sie in der Liste Typ den Schlüsseltyp aus.

   Wenn Sie RSA-Schlüssel verwenden möchten, gehen Sie so vor:

   1. Optional: Fügen Sie die Modulo-Mindestgröße in Bit hinzu.
   2. Optional: Fügen Sie die Modulo-Maximalgröße in Bit hinzu.
   3. Klicken Sie auf Fertig.

   Wenn Sie elliptische-Kurven-Schlüssel verwenden möchten, gehen Sie so vor:

   1. Optional: Wählen Sie in der Liste Typ der elliptischen Kurve den Typ der elliptischen Kurve aus.
   2. Klicken Sie auf Fertig.

4. Wenn Sie einen weiteren zulässigen Schlüssel hinzufügen möchten, klicken Sie auf Element hinzufügen und wiederholen Sie Schritt 2.

5. Klicken Sie auf Weiter.

Methoden für Zertifikatsanfragen konfigurieren

So legen Sie Einschränkungen für die Methoden fest, mit denen Zertifikatsanfragen an den CA-Pool gesendet werden können:

1. Optional: Wenn Sie CSR-basierte Zertifikatsanfragen einschränken möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
2. Optional: Wenn Sie konfigurationsbasierte Zertifikatsanfragen einschränken möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

Veröffentlichungsoptionen konfigurieren

So konfigurieren Sie die Veröffentlichungsoptionen:

1. Optional: Wenn Sie das Veröffentlichen von CA-Zertifikaten im Cloud Storage-Bucket für die CAs im CA-Pool deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
2. Optional: Wenn Sie das Veröffentlichen von CRLs im Cloud Storage-Bucket für die CAs im CA-Pool deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

3. Klicken Sie auf das Menü, um das Codierungsformat für veröffentlichte Zertifikate und CRLs der Zertifizierungsstelle auszuwählen.

   

4. Klicken Sie auf Weiter.

Diese Einstellung bezieht sich auf das Feld Key Usage in einem digitalen Zertifikat. Sie gibt an, wie der private Schlüssel des Zertifikats verwendet werden kann, z. B. für die Schlüsselverschlüsselung, die Datenverschlüsselung, die Zertifikatsignatur und die CRL-Signatur. Weitere Informationen finden Sie unter Schlüsselnutzung.

1. Klicken Sie zum Auswählen der Basisschlüsselverwendungen auf die Ein/Aus-Schaltfläche Basisschlüsselverwendungen für Zertifikate angeben, die von diesem CA-Pool ausgestellt werden und wählen Sie dann eine der aufgeführten Optionen aus.
2. Klicken Sie auf Weiter.

Diese Einstellung bezieht sich auf das Feld Extended Key Usage (EKU) in einem digitalen Zertifikat. Sie enthält detailliertere Einschränkungen für die Verwendung des Schlüssels, z. B. für die Server-, Client-, Codesignatur- und E-Mail-Authentifizierung. Weitere Informationen finden Sie unter Erweiterte Schlüsselnutzung.

Erweiterte Schlüsselverwendungen werden mit Objekt-IDs (OIDs) definiert. Wenn Sie die erweiterten Schlüsselverwendungen nicht konfigurieren, sind alle Szenarien für die Schlüsselverwendung zulässig.

1. Klicken Sie zum Auswählen der erweiterten Schlüsselverwendungen auf die Ein/Aus-Schaltfläche Erweiterte Schlüsselverwendungen in Zertifikate schreiben, die von diesem CA-Pool ausgestellt werden und wählen Sie dann eine der aufgeführten Optionen aus.
2. Klicken Sie auf Weiter.

Die Erweiterung „Zertifikatsrichtlinien“ im Zertifikat enthält die Richtlinien, denen der ausstellende CA-Pool folgt. Diese Erweiterung kann Informationen dazu enthalten, wie Identitäten vor der Zertifikatsausstellung validiert, Zertifikate widerrufen und die Integrität des CA-Pools sichergestellt werden. Mit dieser Erweiterung können Sie die vom CA-Pool ausgestellten Zertifikate überprüfen und sehen, wie sie verwendet werden.

Weitere Informationen finden Sie unter Zertifizierungsrichtlinien.

So legen Sie die Richtlinie fest, die die Zertifikatsnutzung definiert:

1. Fügen Sie die Richtlinien-ID in das Feld Richtlinien-IDs ein.
2. Klicken Sie auf Weiter.

Die AIA-Erweiterung in einem Zertifikat enthält die folgenden Informationen:

• Adresse der OCSP-Server, über die Sie den Widerrufsstatus des Zertifikats prüfen können.
• Die Zugriffsmethode für den Aussteller des Zertifikats.

Weitere Informationen finden Sie unter Zugriff auf Informationen zu Behörden.

So fügen Sie die OCSP-Server hinzu, die in den Zertifikaten im Feld „AIA-Erweiterung“ angezeigt werden:

1. Klicken Sie auf Zeile hinzufügen.
2. Fügen Sie im Feld Server-URL die URL des OCSP-Servers hinzu.
3. Klicken Sie auf Fertig.
4. Klicken Sie auf Weiter.

Im Feld CA-Optionen einer Zertifikatsvorlage wird festgelegt, wie das resultierende Zertifikat in einer Zertifizierungsstellenhierarchie verwendet werden kann. Mit CA-Optionen wird festgelegt, ob ein Zertifikat zum Signieren anderer Zertifikate verwendet werden kann und gegebenenfalls die Einschränkungen für die von ihr ausgestellten Zertifikate.

Wählen Sie aus den folgenden Optionen aus:

1. Konfigurationen zum Beschreiben der CA-X.509-Erweiterungen einschließen: Geben Sie die Einstellungen in einer Zertifikatsvorlage an, die die X.509-Erweiterungen steuern.

2. Ausgestellte Zertifikate auf die ausschließliche Verwendung für Zertifizierungsstellen einschränken: Diese Option wird nur angezeigt, wenn Sie das Kästchen im vorherigen Schritt angeklickt haben. Dieser boolesche Wert gibt an, ob es sich bei dem Zertifikat um ein CA-Zertifikat handelt. Wenn true festgelegt ist, kann das Zertifikat zum Signieren anderer Zertifikate verwendet werden. Wenn false, ist das Zertifikat ein Endentitätszertifikat und kann keine anderen Zertifikate signieren. Wenn Sie auf diese Ein/Aus-Schaltfläche klicken, werden Sie aufgefordert, Namenseinschränkungen für die Erweiterung in CA-Zertifikaten zu definieren.

3. Konfiguratioen zum Beschreiben der Pfadlängeneinschränkung für X.509-Erweiterungen einschließen: Geben Sie die Einstellungen an, die steuern, wie lang eine Zertifikatskette sein kann, die von einem bestimmten Zertifikat ausgeht. Wenn die maximale Ausstellerpfadlänge auf 0 festgelegt ist, kann die Zertifizierungsstelle nur Endentitätszertifikate ausstellen. Wenn sie auf 1 gesetzt ist, kann die Kette unter diesem CA-Zertifikat nur eine untergeordnete Zertifizierungsstelle enthalten. Wenn kein Wert angegeben wird, ist die Anzahl der untergeordneten Zertifizierungsstellen in der Kette unter dieser Zertifizierungsstelle unbegrenzt.

4. Klicken Sie auf Weiter.

So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen:

1. Klicken Sie auf Zeile hinzufügen.
2. Fügen Sie im Feld Objektkennung eine gültige Objektkennung in Form von punktgetrennten Ziffern ein.
3. Fügen Sie im Feld Wert den base64-codierten Wert für die Kennung hinzu.
4. Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.

Klicken Sie auf Fertig, um alle Konfigurationen für Basiswerte zu speichern.

Klicken Sie auf Fertig, um den CA-Pool zu erstellen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools create POOL_NAME --location=LOCATION

Ersetzen Sie Folgendes:

• POOL_NAME: der Name des CA-Pools.
• LOCATION: der Speicherort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Wenn Sie nicht angeben, welche Stufe Sie für Ihren CA-Pool benötigen, wird standardmäßig die Stufe Enterprise ausgewählt. Wenn Sie die Stufe für Ihren CA-Pool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --location=LOCATION --tier=TIER_NAME

Ersetzen Sie Folgendes:

• POOL_NAME: der Name Ihres CA-Pools.
• LOCATION: der Speicherort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.
• TIER_NAME: entweder devops oder enterprise. Weitere Informationen finden Sie unter Ebene der Vorgänge auswählen.

Wenn Sie das Codierungsformat der Veröffentlichung für Ihren CA-Pool nicht angeben, wird standardmäßig das Codierungsformat PEM ausgewählt. Wenn du das Codierungsformat für die Veröffentlichung für deinen CA-Pool angeben möchtest, führe den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ersetzen Sie Folgendes:

• POOL_NAME: der Name Ihres CA-Pools.
• LOCATION: der Speicherort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.
• PUBLISHING_ENCODING_FORMAT: entweder PEM oder DER.

Weitere Informationen zum Befehl gcloud privateca pools create finden Sie unter gcloud privateca pools create.

Informationen zum Einschränken der Art der Zertifikate, die von einem CA-Pool ausgestellt werden können, finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Go

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

import google.cloud.security.privateca_v1 as privateca_v1


def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

REST API

1. Erstellen Sie einen CA-Pool.

   HTTP-Methode und URL:

   POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

   JSON-Text anfordern:

   {
     "tier": "ENTERPRISE"
   }
   

   Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

   curl (Linux, macOS oder Cloud Shell)

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID"

   PowerShell (Windows)

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID" | Select-Object -Expand Content

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   {
       "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
       "metadata": {...},
       "done": false
   }
   

2. Fragen Sie den Vorgang ab, bis er abgeschlossen ist.

   Der Vorgang ist abgeschlossen, wenn die Eigenschaft done des lang andauernden Vorgangs auf true gesetzt ist.

   HTTP-Methode und URL:

   GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

   Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

   curl (Linux, macOS oder Cloud Shell)

   Führen Sie folgenden Befehl aus:

   curl -X GET \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID"

   PowerShell (Windows)

   Führen Sie folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID" | Select-Object -Expand Content

   Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

   {
       "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
       "metadata": {...},
       "done": true,
       "response": {
         "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
         "name": "...",
         "tier": "ENTERPRISE"
       }
   }
   

Console

So fügen Sie ein Label hinzu:

1. Rufen Sie die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Wählen Sie auf dem Tab CA-Poolmanager den CA-Pool aus.

3. Klicken Sie auf Labels.

4. Klicken Sie auf addLabel hinzufügen.

5. Fügen Sie ein Schlüssel/Wert-Paar hinzu.

6. Klicken Sie auf Speichern.

   

So bearbeiten Sie ein vorhandenes Label:

1. Rufen Sie die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Wählen Sie auf dem Tab CA-Poolmanager den CA-Pool aus.

3. Klicken Sie auf Labels.

4. Bearbeiten Sie den Wert des Labels.

5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --location=LOCATION --update-labels foo=bar

Ersetzen Sie Folgendes:

• POOL_ID: der Name des CA-Pools.
• LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.