CA-Pool erstellen

Auf dieser Seite wird beschrieben, wie Sie Zertifizierungsstellenpools erstellen.

Ein Zertifizierungsstellenpool ist eine Sammlung mehrerer Zertifizierungsstellen mit einer gemeinsamen Richtlinie für das Ausstellen von Zertifikaten sowie einer IAM-Richtlinie (Identity and Access Management). Ein CA-Pool erleichtert die Verwaltung der CA-Rotation und ermöglicht eine höhere Anzahl effektiver Abfragen pro Sekunde (QPS).

Sie müssen einen CA-Pool erstellen, bevor Sie Certificate Authority Service zum Erstellen einer CA verwenden können. Weitere Informationen finden Sie unter CA-Pools – Übersicht.

Hinweise

Sie benötigen die IAM-Rolle „CA Service Operation Manager“ (roles/privateca.caManager). Informationen zum Zuweisen einer IAM-Rolle an ein Hauptkonto finden Sie unter Einzelne Rolle zuweisen.

Einstellungen für den CA-Pool festlegen

In diesem Abschnitt werden die Einstellungen eines CA-Pools beschrieben und Empfehlungen für die Auswahl der Einstellungen gegeben.

Dauerhafte Einstellungen für CA-Pools

Die folgenden CA-Pool-Einstellungen können nach dem Erstellen des CA-Pools nicht mehr geändert werden.

Standort

Geben Sie den Standort des CA-Pools an. Ein CA-Pool wird an einem einzigen Google Cloud-Speicherort gespeichert. Wir empfehlen, den CA-Pool am selben Standort oder in der Nähe des Standorts zu erstellen, an dem Sie ihn verwenden möchten.

Eine vollständige Liste der unterstützten Standorte finden Sie unter Standorte.

Stufe

Wählen Sie aus, ob Sie den CA-Pool mit dem DevOps- oder dem Enterprise-Tier erstellen möchten. Diese Auswahl wirkt sich darauf aus, ob der CA-Dienst die erstellten Zertifikate beibehält, ob erstellte Zertifikate später widerrufen werden können und mit welcher maximalen Rate Sie Zertifikate von den Zertifizierungsstellen im CA-Pool erstellen können. Weitere Informationen finden Sie unter Betriebsstufen auswählen.

Optionale Einstellungen für CA-Pools

Richtlinie für die Zertifikatsausstellung

Ein CA-Pool kann eine Richtlinie für die Zertifikatsausstellung haben. Diese Ausstellungsrichtlinie schränkt die Zertifikate ein, die die Zertifizierungsstellen im CA-Pool ausstellen dürfen. Sie können die Ausstellungsrichtlinie eines CA-Pools nach dem Erstellen des CA-Pools aktualisieren. Weitere Informationen finden Sie unter Übersicht über Vorlagen und Richtlinien für die Ausstellung.

Weitere Informationen zum Konfigurieren einer Zertifikatsausstellungsrichtlinie finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Veröffentlichungsoptionen

Sie können einen CA-Pool so konfigurieren, dass die CA-Zertifikate für jede der Zertifizierungsstellen veröffentlicht werden. Bei der Ausstellung eines Zertifikats wird die URL zu diesem CA-Zertifikat als AIA-Erweiterung (Authority Information Access) in das Zertifikat aufgenommen.

CAs in CA-Pools der Enterprise-Stufe können berechtigt werden, Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) im zugehörigen Cloud Storage-Bucket zu veröffentlichen. Bei der Ausstellung eines Zertifikats wird eine URL zu dieser CRL als CDP-Erweiterung (CRL Distribution Point) in das Zertifikat aufgenommen. Ohne die CDP-Erweiterung im Zertifikat können Sie die CRL nicht finden. Weitere Informationen finden Sie unter Zertifikate widerrufen.

Sie können auch das Codierungsformat der veröffentlichten CA-Zertifikate und CRLs auswählen. Die unterstützten Codierungsformate sind Privacy Enhanced Mail (PEM) und Distinguished Encoding Rules (DER). Wenn kein Codierungsformat angegeben wird, wird PEM verwendet.

Wenn Sie den CA-Pool mit der Google Cloud CLI oder der Google Cloud Console erstellen, werden diese Veröffentlichungsoptionen standardmäßig von CA Service aktiviert. Weitere Informationen finden Sie unter Veröffentlichung von CA-Zertifikaten und CRLs für Zertifizierungsstellen in einem CA-Pool deaktivieren.

CA-Pool erstellen

Folgen Sie der Anleitung unten, um einen CA-Pool zu erstellen:

Console

Namen für den CA-Pool auswählen

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf CA-Poolmanager.

  3. Klicken Sie auf Pool erstellen.

  4. Geben Sie einen eindeutigen Namen für den CA-Pool für die Region ein.

  5. Wählen Sie im Feld Region eine Region aus dem Drop-down-Menü aus. Weitere Informationen finden Sie unter Besten Standort auswählen.

  6. Wählen Sie entweder die Enterprise- oder die DevOps-Stufe aus. Weitere Informationen finden Sie unter Betriebsstufen auswählen.

  7. Klicken Sie auf Weiter.

Zulässige Schlüsselalgorithmen und -größen konfigurieren

Mit CA Service können Sie die Signaturalgorithmen für die Cloud KMS-Schlüssel auswählen, die die CAs im CA-Pool unterstützen. Standardmäßig sind alle Schlüsselalgorithmen zulässig.

So beschränken Sie die zulässigen Schlüssel in den vom CA-Pool ausgestellten Zertifikaten: Dieser Schritt ist optional.

  1. Klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Klicken Sie auf Element hinzufügen.

  3. Wählen Sie in der Liste Typ den Schlüsseltyp aus.

    Wenn Sie RSA-Schlüssel verwenden möchten, gehen Sie so vor:

    1. Optional: Fügen Sie die Modulo-Mindestgröße in Bit hinzu.
    2. Optional: Fügen Sie die Modulo-Maximalgröße in Bit hinzu.
    3. Klicken Sie auf Fertig.

    Wenn Sie elliptische-Kurven-Schlüssel verwenden möchten, gehen Sie so vor:

    1. Optional: Wählen Sie in der Liste Typ der elliptischen Kurve den Typ der elliptischen Kurve aus.
    2. Klicken Sie auf Fertig.

  4. Wenn Sie einen weiteren zulässigen Schlüssel hinzufügen möchten, klicken Sie auf Element hinzufügen und wiederholen Sie Schritt 2.

  5. Klicken Sie auf Weiter.

Methoden für Zertifikatsanfragen konfigurieren

So legen Sie Einschränkungen für die Methoden fest, mit denen Zertifikatsanfragen an den CA-Pool gesendet werden können:

  1. Optional: Wenn Sie CSR-basierte Zertifikatsanfragen einschränken möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Optional: Wenn Sie konfigurationsbasierte Zertifikatsanfragen einschränken möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

Veröffentlichungsoptionen konfigurieren

So konfigurieren Sie die Veröffentlichungsoptionen:

  1. Optional: Wenn Sie das Veröffentlichen von CA-Zertifikaten im Cloud Storage-Bucket für die CAs im CA-Pool deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Optional: Wenn Sie das Veröffentlichen von CRLs im Cloud Storage-Bucket für die CAs im CA-Pool deaktivieren möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

  3. Klicken Sie auf das Menü, um das Codierungsformat für veröffentlichte Zertifikate und CRLs der Zertifizierungsstelle auszuwählen.

    Konfigurieren Sie die Veröffentlichungsoptionen für CA-Zertifikate und CRLs für die Zertifizierungsstellen im CA-Pool.

  4. Klicken Sie auf Weiter.

Referenzwerte konfigurieren

So konfigurieren Sie Referenzwerte in den vom CA-Pool ausgestellten Zertifikaten:

  1. Klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Klicken Sie auf Referenzwerte konfigurieren.
Basisschlüsselverwendung definieren

Mit dieser Einstellung können Sie konfigurieren, wie der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen für die Schlüsselverwendung gehören Schlüsselverschlüsselung, Datenverschlüsselung, Zertifikatsignatur und CRL-Signatur.

Weitere Informationen finden Sie unter Schlüsselnutzung.

So definieren Sie die Basisschlüsselverwendungen:

  1. Optional: Klicken Sie im angezeigten Fenster auf die Ein/Aus-Schaltfläche, wenn Sie Basisschlüsselverwendungen für die Zertifikate angeben möchten.
  2. Setzen Sie ein Häkchen bei den Kästchen für die Verwendungsarten des Schlüssels.
    3. Wählen Sie die allgemeinen Verwendungsmöglichkeiten für einen Schlüssel aus.
  3. Klicken Sie auf Weiter.
Erweiterte Schlüsselverwendung definieren

Mit dieser Einstellung können Sie detailliertere Szenarien auswählen, für die der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen gehören unter anderem die Serverauthentifizierung, die Clientauthentifizierung, die Codesignatur und der E-Mail-Schutz.

Erweiterte Schlüsselverwendungen werden mit Objekt-IDs (OIDs) definiert. Wenn Sie die erweiterten Schlüsselverwendungen nicht konfigurieren, sind alle Szenarien für die Schlüsselverwendung zulässig.

Weitere Informationen finden Sie unter Erweiterte Schlüsselnutzung.

So definieren Sie die erweiterte Schlüsselverwendung:

  1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um die erweiterten Schlüsselverwendungen für die Zertifikate anzugeben, die vom CA-Pool ausgestellt werden.
  2. Klicken Sie die Kästchen für die Szenarien der erweiterten Schlüsselverwendung an.
  3. Klicken Sie auf Weiter.
Richtlinienkennungen definieren

Die Erweiterung „Zertifikatsrichtlinien“ im Zertifikat enthält die Richtlinien, denen der ausstellende CA-Pool folgt. Diese Erweiterung kann Informationen dazu enthalten, wie Identitäten vor der Zertifikatsausstellung validiert, Zertifikate widerrufen und die Integrität des CA-Pools sichergestellt werden. Mit dieser Erweiterung können Sie die vom CA-Pool ausgestellten Zertifikate überprüfen und sehen, wie die Zertifikate verwendet werden.

Weitere Informationen finden Sie unter Zertifizierungsrichtlinien.

So legen Sie die Richtlinie fest, die die Zertifikatsnutzung definiert:

  1. Optional: Fügen Sie die Richtlinien-ID in das Feld Richtlinien-IDs ein.
  2. Klicken Sie auf Weiter.
AIA-OCSP-Server hinzufügen

Die AIA-Erweiterung in einem Zertifikat enthält die folgenden Informationen:

  • Adresse der OCSP-Server, über die Sie den Widerrufsstatus des Zertifikats prüfen können.
  • Die Zugriffsmethode für den Aussteller des Zertifikats.

Weitere Informationen finden Sie unter Zugriff auf Informationen zu Behörden.

So fügen Sie die OCSP-Server hinzu, die im Feld „AIA-Erweiterung“ in den Zertifikaten angezeigt werden: Das folgende Verfahren ist optional.

  1. Optional: Klicken Sie auf Element hinzufügen.
  2. Fügen Sie im Feld Server-URL die URL des OCSP-Servers hinzu.
  3. Klicken Sie auf Fertig.
  4. Klicken Sie auf Weiter.
Zusätzliche Erweiterungen konfigurieren

So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen: Das folgende Verfahren ist optional.

  1. Klicken Sie auf Zeile hinzufügen.
  2. Fügen Sie im Feld Objektkennung eine gültige Objektkennung in Form von punktgetrennten Ziffern ein.
  3. Fügen Sie im Feld Wert den base64-codierten Wert für die Kennung hinzu.
  4. Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.

Klicken Sie auf Fertig, um alle Konfigurationen für Basiswerte zu speichern.

Einschränkungen für Erweiterungen konfigurieren

Wenn Sie nicht möchten, dass alle Erweiterungen aus Zertifikatsanfragen in die ausgestellten Zertifikate aufgenommen werden, klicken Sie auf die Ein/Aus-Schaltfläche.

Nachdem Sie auf die Ein/Aus-Schaltfläche geklickt haben, wird das Feld Bekannte Zertifikatserweiterungen angezeigt, in dem Sie die Zertifikatserweiterungen auswählen können. So wählen Sie die Zertifikatserweiterung aus:

  1. Optional: Klicken Sie auf das Feld Bekannte Zertifikaterweiterungen und entfernen Sie die nicht erforderlichen Erweiterungen aus dem Menü.
  2. Optional: Fügen Sie im Feld Benutzerdefinierte Erweiterungen die Objekt-IDs für Erweiterungen hinzu, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen.
Identitätseinschränkungen konfigurieren

So konfigurieren Sie Einschränkungen für den Antragsteller und die SANs in den Zertifikaten, die vom CA-Pool ausgestellt werden:

  1. Optional: Wenn Sie nicht zulassen möchten, dass der Inhaber in Zertifikatsanfragen weitergegeben wird, klicken Sie auf den Schalter.
  2. Optional: Wenn Sie nicht zulassen möchten, dass alternative Antragstellernamen in Zertifikatsanfragen weitergegeben werden, klicken Sie auf die Ein/Aus-Schaltfläche.
  3. Optional: Fügen Sie einen CEL-Ausdruck (Common Expression Language) hinzu, um Einschränkungen für Zertifikatsinhaber festzulegen. Weitere Informationen finden Sie unter CEL verwenden.
  4. Klicken Sie auf Weiter.

Informationen zum Konfigurieren zusätzlicher Parameter in der Richtlinie zur Zertifikatausstellung finden Sie unter IssuancePolicy.

Klicken Sie auf Fertig, um den CA-Pool zu erstellen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools create POOL_NAME

Ersetzen Sie POOL_NAME durch den Namen des Zertifizierungsstellenpools.

Wenn Sie nicht angeben, welche Stufe Sie für Ihren CA-Pool benötigen, wird standardmäßig die Stufe Enterprise ausgewählt. Wenn Sie die Stufe für Ihren CA-Pool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --tier=TIER_NAME

Ersetzen Sie Folgendes:

  • POOL_NAME: Der Name Ihres CA-Pools.
  • TIER_NAME: entweder devops oder enterprise. Weitere Informationen finden Sie unter Betriebsstufen auswählen.

Wenn Sie das Codierungsformat der Veröffentlichung für Ihren CA-Pool nicht angeben, wird standardmäßig das PEM-Codierungsformat der Veröffentlichung ausgewählt. Wenn du das Codierungsformat für die Veröffentlichung für deinen CA-Pool angeben möchtest, führe den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ersetzen Sie Folgendes:

  • POOL_NAME: Der Name Ihres CA-Pools.
  • PUBLISHING_ENCODING_FORMAT: entweder PEM oder DER.

Weitere Informationen zum Befehl gcloud privateca pools create finden Sie unter gcloud privateca pools create.

Informationen zum Einschränken der Art der Zertifikate, die ein CA-Pool ausstellen kann, finden Sie unter CA-Pool eine Zertifikatsausstellungsrichtlinie hinzufügen.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Go

Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import google.cloud.security.privateca_v1 as privateca_v1


def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

REST API

  1. Erstellen Sie einen CA-Pool.

    HTTP-Methode und URL:

    POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

    JSON-Text anfordern:

    {
"tier": "ENTERPRISE"
}

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten in etwa folgende JSON-Antwort erhalten:

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": false
}

  2. Fragen Sie den Vorgang ab, bis er abgeschlossen ist.

    Der Vorgang ist abgeschlossen, wenn die Eigenschaft done des lang andauernden Vorgangs auf true gesetzt ist.

    HTTP-Methode und URL:

    GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

    Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

    Sie sollten in etwa folgende JSON-Antwort erhalten:

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": true,
 "response": {
   "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
   "name": "...",
   "tier": "ENTERPRISE"
 }
}

Labels zu einem CA-Pool hinzufügen oder aktualisieren

Ein Label ist ein Schlüssel/Wert-Paar, mit dem Sie Ihre CA-Dienstressourcen organisieren können. Sie können Ihre Ressourcen nach ihren Labels filtern.

So fügen Sie einem CA-Pool Labels hinzu oder aktualisieren sie:

Console

So fügen Sie ein Label hinzu:

  1. Rufen Sie die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Wählen Sie auf dem Tab CA-Poolmanager den CA-Pool aus.

  3. Klicken Sie auf Labels.

  4. Klicken Sie auf Label hinzufügen.

  5. Fügen Sie ein Schlüssel/Wert-Paar hinzu.

  6. Klicken Sie auf Speichern.

    Fügen Sie einem vorhandenen CA-Pool ein Label hinzu.

So bearbeiten Sie ein vorhandenes Label:

  1. Rufen Sie die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Wählen Sie auf dem Tab CA-Poolmanager den CA-Pool aus.

  3. Klicken Sie auf Labels.

  4. Bearbeiten Sie den Wert des Labels.

  5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --update-labels foo=bar

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.

Nächste Schritte