CA-Pool erstellen

Auf dieser Seite wird beschrieben, wie Sie CA-Pools erstellen.

Ein CA-Pool ist eine Sammlung mehrerer Zertifizierungsstellen mit einer gemeinsamen Richtlinie für die Zertifikatsausstellung und einer Richtlinie zur Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Ein CA-Pool vereinfacht die Verwaltung der CA-Rotation und ermöglicht Ihnen, insgesamt mehr effektive Abfragen pro Sekunde (Queries per Second, QPS) zu erzielen.

Sie müssen einen Zertifizierungsstellenpool erstellen, bevor Sie Certificate Authority Service zum Erstellen einer Zertifizierungsstelle verwenden können. Weitere Informationen finden Sie unter Übersicht über CA-Pools.

Hinweise

Prüfen Sie, ob Sie die IAM-Rolle „CA Service Operation Manager“ (roles/privateca.caManager) haben. Informationen zum Zuweisen einer IAM zu einem Hauptkonto finden Sie unter Einzelne Rolle zuweisen.

Einstellungen des Zertifizierungsstellenpools festlegen

In diesem Abschnitt werden die Einstellungen eines Zertifizierungsstellenpools beschrieben und Empfehlungen zur Auswahl der Einstellungen gegeben.

Einstellungen für permanenten CA-Pool

Die folgenden Einstellungen für den Zertifizierungsstellenpool können nach dem Erstellen des Zertifizierungsstellenpools nicht mehr geändert werden.

Standort

Geben Sie den Speicherort des Zertifizierungsstellenpools an. Ein CA-Pool wird an einem einzelnen Google Cloud-Standort gespeichert. Wir empfehlen, den Zertifizierungsstellenpool am selben Standort oder in der Nähe des Standorts zu erstellen, an dem Sie ihn verwenden möchten.

Eine vollständige Liste der unterstützten Standorte finden Sie unter Standorte.

Stufe

Wählen Sie aus, ob Sie den Zertifizierungsstellenpool mit der DevOps- oder der Enterprise-Stufe erstellen möchten. Diese Auswahl wirkt sich darauf aus, ob der Zertifizierungsstellendienst die erstellten Zertifikate beibehält, ob erstellte Zertifikate später widerrufen werden können und wie oft Sie Zertifikate von den Zertifizierungsstellen im CA-Pool maximal erstellen können. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.

Optionale Einstellungen für CA-Pool

Richtlinie zur Zertifikatsausstellung

Ein CA-Pool kann eine Richtlinie zur Zertifikatsausstellung haben. Mit dieser Ausstellungsrichtlinie werden die Zertifikate eingeschränkt, die die Zertifizierungsstellen im CA-Pool ausstellen dürfen. Sie können die Ausstellungsrichtlinie eines Zertifizierungsstellenpools aktualisieren, nachdem Sie den CA-Pool erstellt haben. Weitere Informationen finden Sie unter Vorlagen und Ausstellungsrichtlinien.

Weitere Informationen zum Konfigurieren einer Richtlinie für die Zertifikatsausstellung finden Sie unter Richtlinie zur Zertifikatsausstellung zu einem CA-Pool hinzufügen.

Veröffentlichungsoptionen

Sie können einen CA-Pool so konfigurieren, dass die CA-Zertifikate für jede seiner CAs veröffentlicht werden. Wenn ein Zertifikat ausgestellt wird, ist die URL zu diesem CA-Zertifikat als Erweiterung der Zertifizierungsstelle (Authority Information Access, AIA) im Zertifikat enthalten.

Zertifizierungsstellen in CA-Pools der Enterprise-Stufe können Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) im verknüpften Cloud Storage-Bucket veröffentlichen. Wenn ein Zertifikat ausgestellt wird, wird eine URL zu dieser Zertifikatssperrliste als CDP-Erweiterung (CRL Distribution Point) hinzugefügt. Sie können die Zertifikatssperrliste ohne die CDP-Erweiterung im Zertifikat nicht finden. Weitere Informationen finden Sie unter Zertifikate widerrufen.

Sie können auch das Codierungsformat der veröffentlichten CA-Zertifikate und Zertifikatssperrlisten auswählen. Die unterstützten Codierungsformate sind Privacy Enhanced Mail (PEM) und Distinguished Encoding Rules (DER). Wenn kein Codierungsformat angegeben ist, wird PEM verwendet.

Wenn Sie den Zertifizierungsstellenpool mit der Google Cloud CLI oder der Google Cloud Console erstellen, aktiviert CA Service diese Veröffentlichungsoptionen standardmäßig. Weitere Informationen finden Sie unter CA-Zertifikat und CRL-Veröffentlichung für CAs in einem CA-Pool deaktivieren.

CA-Pool erstellen

So erstellen Sie einen Zertifizierungsstellenpool:

Console

Namen für den Zertifizierungsstellenpool auswählen

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf CA-Poolmanager.

  3. Klicken Sie auf Pool erstellen.

  4. Fügen Sie einen Namen für den Zertifizierungsstellenpool hinzu, der für die Region eindeutig ist.

  5. Wählen Sie im Feld Region eine Region aus dem Drop-down-Menü aus. Weitere Informationen finden Sie unter Besten Standort auswählen.

  6. Wählen Sie entweder die Stufe „Enterprise“ oder die DevOps-Stufe aus. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.

  7. Klicken Sie auf Weiter.

Zulässige Schlüsselalgorithmen und Größen konfigurieren

Mit CA Service können Sie die Signaturalgorithmen für die Cloud KMS-Schlüssel auswählen, die die Zertifizierungsstellen im Zertifizierungsstellenpool unterstützen. Alle Schlüsselalgorithmen sind standardmäßig zugelassen.

So schränken Sie die zulässigen Schlüssel in den vom CA-Pool ausgestellten Zertifikaten ein: Dies ist ein optionales Verfahren.

  1. Klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Klicken Sie auf Element hinzufügen.

  3. Wählen Sie in der Liste Typ den Schlüsseltyp aus.

    So verwenden Sie RSA-Schlüssel:

    1. Optional: Fügen Sie die Modulo-Mindestgröße in Bit hinzu.
    2. Optional: Fügen Sie die maximale Modulusgröße in Bit hinzu.
    3. Klicken Sie auf Fertig.

    Wenn Sie Schlüssel für elliptische Kurven verwenden möchten, gehen Sie so vor:

    1. Optional: Wählen Sie in der Liste Typ der elliptischen Kurve den Typ für elliptische Kurven aus.
    2. Klicken Sie auf Fertig.

  4. Klicken Sie zum Hinzufügen eines weiteren zulässigen Schlüssels auf Element hinzufügen und wiederholen Sie Schritt 2.

  5. Klicken Sie auf Weiter.

Methoden für Zertifikatsanfragen konfigurieren

Gehen Sie so vor, um die Methoden einzuschränken, mit denen Zertifikatsanforderer Zertifikate aus dem CA-Pool anfordern können:

  1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um CSR-basierte Zertifikatsanfragen einzuschränken.
  2. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um konfigurationsbasierte Zertifikatsanfragen einzuschränken.

Veröffentlichungsoptionen konfigurieren

So konfigurieren Sie Veröffentlichungsoptionen:

  1. Optional: Wenn Sie die Veröffentlichung von CA-Zertifikaten im Cloud Storage-Bucket für die CAs im CA-Pool nicht zulassen möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Optional: Wenn Sie die Veröffentlichung von Zertifikatssperrlisten im Cloud Storage-Bucket für die Zertifizierungsstellen im Zertifizierungsstellenpool nicht zulassen möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

  3. Klicken Sie auf das Menü, um das Codierungsformat für veröffentlichte CA-Zertifikate und Zertifikatssperrlisten auszuwählen.

    Konfigurieren Sie Veröffentlichungsoptionen für CA-Zertifikate und CRLs für die CAs im CA-Pool.

  4. Klicken Sie auf Weiter.

Referenzwerte konfigurieren

So konfigurieren Sie Referenzwerte in den Zertifikaten, die vom CA-Pool ausgestellt werden:

  1. Klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Klicken Sie auf Basiswerte konfigurieren.
Basisschlüsselverwendung definieren

Mit dieser Einstellung können Sie konfigurieren, wie der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen für die Schlüsselnutzung gehören die Schlüsselverschlüsselung, die Datenverschlüsselung, die Zertifikatssignierung, die Zertifikatssperrlisten-Signierung und mehr.

Weitere Informationen finden Sie unter Schlüsselverwendung.

So definieren Sie die Basisschlüsselverwendungen:

  1. Optional: Klicken Sie im angezeigten Fenster auf die Ein/Aus-Schaltfläche, wenn Sie die Basisschlüsselverwendungen für die Zertifikate angeben möchten.
  2. Klicken Sie die Kästchen an, um festzulegen, wie der Schlüssel verwendet werden soll.
    3. Legen Sie fest, wie ein Schlüssel verwendet werden soll.
  3. Klicken Sie auf Weiter.
Erweiterte Schlüsselverwendung definieren

Sie können diese Einstellung verwenden, um detailliertere Szenarien auszuwählen, für die der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen gehören unter anderem Serverauthentifizierung, Clientauthentifizierung, Codesignatur und E-Mail-Schutz.

Erweiterte Schlüsselverwendungen werden mithilfe von Objektkennungen (OIDs) definiert. Wenn Sie die erweiterten Schlüsselverwendungen nicht konfigurieren, sind alle Schlüsselnutzungsszenarien zulässig.

Weitere Informationen finden Sie unter Erweiterte Schlüsselnutzung.

So definieren Sie die erweiterten Schlüsselverwendungen:

  1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um die erweiterten Schlüsselverwendungen für die Zertifikate anzugeben, die der CA-Pool ausstellt.
  2. Klicken Sie die Kästchen für die Szenarien der erweiterten Schlüsselverwendung an.
  3. Klicken Sie auf Weiter.
Richtlinien-IDs definieren

Die Erweiterung der Zertifikatsrichtlinien im Zertifikat gibt die Richtlinien an, die der ausstellende Zertifizierungsstellenpool befolgt. Diese Erweiterung kann Informationen darüber enthalten, wie Identitäten vor der Zertifikatsausstellung validiert werden, wie Zertifikate widerrufen werden und wie die Integrität des CA-Pools sichergestellt wird. Mit dieser Erweiterung können Sie die vom CA-Pool ausgestellten Zertifikate prüfen und sehen, wie die Zertifikate verwendet werden.

Weitere Informationen finden Sie unter Zertifikatsrichtlinien.

So legen Sie die Richtlinie fest, die die Zertifikatnutzung definiert:

  1. Optional: Geben Sie im Feld Richtlinien-IDs die Richtlinien-ID ein.
  2. Klicken Sie auf Weiter.
Add Authority Information Access (AIA) OCSP-Server

Die AIA-Erweiterung in einem Zertifikat stellt die folgenden Informationen bereit:

  • Adresse der OCSP-Server, auf denen Sie den Widerrufsstatus des Zertifikats prüfen können.
  • Die Zugriffsmethode für den Aussteller des Zertifikats.

Weitere Informationen finden Sie unter Zugriff auf Zertifizierungsstelleninformationen.

So fügen Sie die OCSP-Server hinzu, die in den Zertifikaten im Feld für die AIA-Erweiterung angezeigt werden. Das folgende Verfahren ist optional.

  1. Optional: Klicken Sie auf Element hinzufügen.
  2. Geben Sie im Feld Server-URL die URL des OCSP-Servers ein.
  3. Klicken Sie auf Fertig.
  4. Klicken Sie auf Weiter.
Zusätzliche Erweiterungen konfigurieren

So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen, die in die vom CA-Pool ausgestellten Zertifikate aufgenommen werden sollen: Das folgende Verfahren ist optional.

  1. Klicken Sie auf Zeile hinzufügen.
  2. Geben Sie im Feld Objektkennzeichnung eine gültige Objektkennung ein, die als punktgetrennte Ziffern formatiert ist.
  3. Geben Sie im Feld Wert den base64-codierten Wert für die Kennung ein.
  4. Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.

Klicken Sie auf Fertig, um alle Grundwertkonfigurationen zu speichern.

Einschränkungen für Erweiterungen konfigurieren

Wenn Sie nicht möchten, dass alle Erweiterungen aus Zertifikatsanfragen in die ausgestellten Zertifikate aufgenommen werden, klicken Sie auf die Ein/Aus-Schaltfläche.

Wenn Sie auf die Ein/Aus-Schaltfläche klicken, wird das Feld Bekannte Zertifikaterweiterungen angezeigt, in dem Sie die Zertifikatserweiterungen auswählen können. So wählen Sie die Zertifikatserweiterungen aus:

  1. Optional: Klicken Sie auf das Feld Bekannte Zertifikaterweiterungen und entfernen Sie die nicht erforderlichen Erweiterungen aus dem Menü.
  2. Optional: Fügen Sie im Feld Benutzerdefinierte Erweiterungen die Objektkennungen für Erweiterungen hinzu, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen.
Identitätseinschränkungen konfigurieren

So konfigurieren Sie Einschränkungen für das Subjekt und die SANs in den Zertifikaten, die der CA-Pool ausstellt:

  1. Optional: Wenn Sie nicht möchten, dass Personen in Zertifikatsanfragen weitergegeben werden, klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Optional: Wenn Sie nicht möchten, dass alternative Antragstellernamen in Zertifikatsanfragen weitergegeben werden, klicken Sie auf die Ein/Aus-Schaltfläche.
  3. Optional: Fügen Sie einen CEL-Ausdruck (Common Expression Language) hinzu, um Zertifikatsinhaber einzuschränken. Weitere Informationen finden Sie unter CEL verwenden.
  4. Klicken Sie auf Weiter.

Informationen zum Konfigurieren zusätzlicher Parameter in der Richtlinie für die Zertifikatsausstellung finden Sie unter IssuancePolicy.

Klicken Sie zum Erstellen des Zertifizierungsstellenpools auf Fertig.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools create POOL_NAME

Ersetzen Sie POOL_NAME durch den Namen des Zertifizierungsstellenpools.

Wenn Sie nicht angeben, welche Stufe für den Zertifizierungsstellenpool erforderlich ist, wird standardmäßig die Stufe Enterprise ausgewählt. Wenn Sie die Stufe für Ihren Zertifizierungsstellenpool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --tier=TIER_NAME

Ersetzen Sie Folgendes:

  • POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
  • TIER_NAME: entweder devops oder enterprise. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.

Wenn Sie für Ihren CA-Pool kein Codierungsformat für die Veröffentlichung angeben, wird standardmäßig das Veröffentlichungscodierungsformat PEM ausgewählt. Wenn Sie das Codierungsformat für die Veröffentlichung für Ihren CA-Pool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ersetzen Sie Folgendes:

  • POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
  • PUBLISHING_ENCODING_FORMAT: entweder PEM oder DER.

Weitere Informationen zum Befehl gcloud privateca pools create finden Sie unter gcloud privateca cards create.

Informationen dazu, wie Sie den Zertifikatstyp einschränken, den ein CA-Pool ausstellen kann, finden Sie unter Einem CA-Pool eine Richtlinie zur Zertifikatsausstellung hinzufügen.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Einfach loslegen (Go)

Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import google.cloud.security.privateca_v1 as privateca_v1


def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

REST API

  1. Erstellen Sie einen Zertifizierungsstellenpool.

    HTTP-Methode und URL: 

    POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

    JSON-Text der Anfrage: 

    {
"tier": "ENTERPRISE"
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten in etwa folgende JSON-Antwort erhalten:

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": false
}

  2. Fragen Sie den Vorgang ab, bis er abgeschlossen ist.

    Der Vorgang ist abgeschlossen, wenn das Attribut done des Vorgangs mit langer Ausführungszeit auf true gesetzt ist.

    HTTP-Methode und URL: 

    GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten in etwa folgende JSON-Antwort erhalten:

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": true,
 "response": {
   "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
   "name": "...",
   "tier": "ENTERPRISE"
 }
}

Labels einem Zertifizierungsstellenpool hinzufügen oder aktualisieren

Ein Label ist ein Schlüssel/Wert-Paar, mit dem Sie Ihre CA Service-Ressourcen organisieren können. Sie können Ihre Ressourcen anhand ihrer Labels filtern.

So fügen Sie einem CA-Pool Labels hinzu oder aktualisieren sie:

Console

So fügen Sie ein Label hinzu:

  1. Rufen Sie die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.

  3. Klicken Sie auf Labels.

  4. Klicken Sie auf Label hinzufügen.

  5. Fügen Sie ein Schlüssel/Wert-Paar hinzu.

  6. Klicken Sie auf Speichern.

    Fügen Sie einem vorhandenen Zertifizierungsstellenpool ein Label hinzu.

So bearbeiten Sie ein vorhandenes Label:

  1. Rufen Sie die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.

  3. Klicken Sie auf Labels.

  4. Bearbeiten Sie den Wert des Labels.

  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --update-labels foo=bar

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.

Nächste Schritte