CA-Pool erstellen

Console

Namen für den Zertifizierungsstellenpool auswählen

1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Klicken Sie auf CA-Poolmanager.

3. Klicken Sie auf add_boxPool erstellen.

4. Fügen Sie einen für die Region eindeutigen Namen für den Zertifizierungsstellenpool hinzu.

5. Wählen Sie im Feld Region eine Region aus der Drop-down-Liste aus. Weitere Informationen finden Sie unter Optimalen Standort auswählen.

6. Wählen Sie entweder die Stufe „Enterprise“ oder die Stufe „DevOps“ aus. Weitere Informationen finden Sie unter Vorgangsebenen auswählen.

7. Klicken Sie auf Next (Weiter).

Zulässige Schlüsselalgorithmen und Größen konfigurieren

Mit CA Service können Sie die Signaturalgorithmen für die Cloud KMS-Schlüssel auswählen, die die Zertifizierungsstellen im Zertifizierungsstellenpool unterstützen. Alle Schlüsselalgorithmen sind standardmäßig zugelassen.

So schränken Sie die zulässigen Schlüssel in den vom CA-Pool ausgestellten Zertifikaten ein: Dies ist ein optionales Verfahren.

1. Klicken Sie auf die Ein/Aus-Schaltfläche.
2. Klicken Sie auf Element hinzufügen.

3. Wählen Sie in der Liste Typ den Schlüsseltyp aus.

   Wenn Sie RSA-Schlüssel verwenden möchten, gehen Sie so vor:

   1. Optional: Fügen Sie die Modulo-Mindestgröße in Bit hinzu.
   2. Optional: Fügen Sie die maximale Modulusgröße in Bit hinzu.
   3. Klicken Sie auf Fertig.

   Wenn Sie Schlüssel mit elliptischen Kurven verwenden möchten, gehen Sie so vor:

   1. Optional: Wählen Sie in der Liste Typ elliptischer Kurve den Typ „Elliptische Kurve“ aus.
   2. Klicken Sie auf Fertig.

4. Wenn Sie einen weiteren zulässigen Schlüssel hinzufügen möchten, klicken Sie auf Element hinzufügen und wiederholen Sie Schritt 2.

5. Klicken Sie auf Next (Weiter).

Methoden für Zertifikatsanfragen konfigurieren

So beschränken Sie die Methoden, mit denen Zertifikatsanforderer Zertifikate aus dem CA-Pool anfordern können:

1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um Anfragen für CSR-basierte Zertifikate einzuschränken.
2. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um konfigurationsbasierte Zertifikatsanfragen einzuschränken.

Veröffentlichungsoptionen konfigurieren

So konfigurieren Sie die Veröffentlichungsoptionen:

1. Optional: Wenn Sie die Veröffentlichung von CA-Zertifikaten im Cloud Storage-Bucket für die CAs im CA-Pool nicht zulassen möchten, klicken Sie auf die Ein/Aus-Schaltfläche.
2. Optional: Wenn Sie die Veröffentlichung von Zertifikatssperrlisten im Cloud Storage-Bucket für die Zertifizierungsstellen im Zertifizierungsstellenpool nicht zulassen möchten, klicken Sie auf die Ein/Aus-Schaltfläche.

3. Klicken Sie auf das Menü, um das Codierungsformat für veröffentlichte CA-Zertifikate und Zertifikatssperrlisten auszuwählen.

   

4. Klicken Sie auf Next (Weiter).

So konfigurieren Sie Einschränkungen für das Betreff und die SANs in den vom CA-Pool ausgestellten Zertifikaten:

1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um zu verhindern, dass Inhaber in Zertifikatsanfragen weitergeleitet werden.
2. Optional: Wenn Sie nicht möchten, dass alternative Antragstellernamen in Zertifikatsanfragen weitergegeben werden, klicken Sie auf die Ein/Aus-Schaltfläche.
3. Optional: Fügen Sie einen CEL-Ausdruck (Common Expression Language) hinzu, um Zertifikatsinhaber einzuschränken. Weitere Informationen finden Sie unter CEL verwenden.
4. Klicken Sie auf Next (Weiter).

Klicken Sie auf die Ein/Aus-Schaltfläche, um zu verhindern, dass alle Erweiterungen aus Zertifikatsanfragen in die ausgestellten Zertifikate aufgenommen werden.

Daraufhin wird das Feld Bekannte Zertifikaterweiterungen angezeigt, in dem Sie die Zertifikatserweiterungen auswählen können. So wählen Sie die Zertifikatserweiterungen aus:

1. Optional: Klicken Sie auf das Feld Bekannte Zertifikatserweiterungen und entfernen Sie im Menü die nicht erforderlichen Erweiterungen.
2. Optional: Fügen Sie im Feld Benutzerdefinierte Erweiterungen die Objektkennungen für Erweiterungen hinzu, die in die vom Zertifizierungsstellenpool ausgestellten Zertifikate einbezogen werden sollen.

So konfigurieren Sie Referenzwerte in den Zertifikaten, die vom CA-Pool ausgestellt werden:

1. Klicken Sie auf die Ein/Aus-Schaltfläche.
2. Klicken Sie auf Referenzwerte konfigurieren.

Mit dieser Einstellung können Sie konfigurieren, wie der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen für die Schlüsselverwendung gehören u. a. die Schlüsselverschlüsselung, die Datenverschlüsselung, die Zertifikatssignierung und die Zertifikatssignierung.

Weitere Informationen finden Sie unter Schlüsselverwendung.

So definieren Sie die Basisschlüsselverwendungen:

1. Optional: Klicken Sie im angezeigten Fenster auf die Ein/Aus-Schaltfläche, wenn Sie die Basisschlüsselverwendungen für die Zertifikate angeben möchten.
2. Wählen Sie mithilfe der Kästchen aus, wie der Schlüssel verwendet werden soll.

3. Klicken Sie auf Next (Weiter).

Mit dieser Einstellung können Sie detailliertere Szenarien auswählen, für die der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen gehören unter anderem Serverauthentifizierung, Clientauthentifizierung, Codesignatur und E-Mail-Schutz.

Erweiterte Schlüsselverwendungen werden über Objektkennungen (OIDs) definiert. Wenn Sie die erweiterte Schlüsselverwendung nicht konfigurieren, sind alle Schlüsselnutzungsszenarien zulässig.

Weitere Informationen finden Sie unter Erweiterte Schlüsselverwendung.

So definieren Sie die erweiterte Schlüsselverwendung:

1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um die erweiterten Schlüsselverwendungen für die Zertifikate anzugeben, die der Zertifizierungsstellenpool ausstellt.
2. Klicken Sie die Kästchen für die erweiterten Schlüsselnutzungsszenarien an.
3. Klicken Sie auf Next (Weiter).

Die Erweiterung der Zertifikatrichtlinien im Zertifikat drückt die Richtlinien aus, denen der ausstellende CA-Pool folgt. Diese Erweiterung kann Informationen dazu enthalten, wie Identitäten vor dem Ausstellen von Zertifikaten validiert werden, wie Zertifikate widerrufen werden und wie die Integrität des Zertifizierungsstellenpools sichergestellt wird. Mit dieser Erweiterung können Sie die vom CA-Pool ausgestellten Zertifikate prüfen und sehen, wie die Zertifikate verwendet werden.

Weitere Informationen finden Sie unter Zertifikatsrichtlinien.

So geben Sie die Richtlinie an, die die Zertifikatsnutzung definiert:

1. Optional: Fügen Sie die Richtlinien-ID in das Feld Richtlinien-IDs ein.
2. Klicken Sie auf Next (Weiter).

Die AIA-Erweiterung in einem Zertifikat enthält die folgenden Informationen:

• Adresse der OCSP-Server, von denen Sie den Sperrstatus des Zertifikats prüfen können.
• Die Zugriffsmethode für den Aussteller des Zertifikats.

Weitere Informationen finden Sie unter Zugriff auf Autorisierungsinformationen.

So fügen Sie die OCSP-Server hinzu, die in den Zertifikaten im Feld der AIA-Erweiterung angezeigt werden: Das folgende Verfahren ist optional.

1. Optional: Klicken Sie auf Element hinzufügen.
2. Geben Sie im Feld Server-URL die URL des OCSP-Servers ein.
3. Klicken Sie auf Fertig.
4. Klicken Sie auf Next (Weiter).

So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen für die Zertifikate, die vom CA-Pool ausgestellt werden: Das folgende Verfahren ist optional.

1. Klicken Sie auf Zeile hinzufügen.
2. Geben Sie im Feld Objekt-ID eine gültige Objektkennung in Form von punktgetrennten Ziffern ein.
3. Fügen Sie im Feld Wert den base64-codierten Wert für die Kennung hinzu.
4. Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.

Klicken Sie auf Fertig, um alle Basiswertkonfigurationen zu speichern.

Klicken Sie zum Erstellen des Zertifizierungsstellenpools auf Fertig.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools create POOL_NAME

Ersetzen Sie POOL_NAME durch den Namen des Zertifizierungsstellenpools.

Wenn Sie nicht angeben, welche Stufe für den Zertifizierungsstellenpool erforderlich ist, wird standardmäßig die Stufe Enterprise ausgewählt. Wenn Sie die Stufe für Ihren Zertifizierungsstellenpool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --tier=TIER_NAME

Ersetzen Sie Folgendes:

• POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
• TIER_NAME: entweder devops oder enterprise. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.

Wenn Sie für den Zertifizierungsstellenpool kein Codierungsformat für die Veröffentlichung angeben, wird standardmäßig das Codierungsformat für die Veröffentlichung PEM ausgewählt. Wenn Sie das Codierungsformat der Veröffentlichung für Ihren Zertifizierungsstellenpool angeben möchten, führen Sie den folgenden gcloud-Befehl aus:

gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ersetzen Sie Folgendes:

• POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
• PUBLISHING_ENCODING_FORMAT: entweder PEM oder DER.

Weitere Informationen zum Befehl gcloud privateca pools create finden Sie unter gcloud privatecapools create.

Informationen zum Festlegen von Einschränkungen für die Art der Zertifikate, die ein Zertifizierungsstellenpool ausstellen kann, finden Sie unter Richtlinie zur Zertifikatsausstellung zu einem Zertifizierungsstellenpool hinzufügen.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Einfach loslegen (Go)

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

import google.cloud.security.privateca_v1 as privateca_v1

def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

REST API

1. Erstellen Sie einen Zertifizierungsstellenpool.

   HTTP-Methode und URL:

   POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

   JSON-Text der Anfrage:

   {
   "tier": "ENTERPRISE"
   }
   

   Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

   curl (Linux, macOS oder Cloud Shell)

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d @request.json \
       "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID"

   PowerShell (Windows)

   Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID" | Select-Object -Expand Content

   Sie sollten in etwa folgende JSON-Antwort erhalten:

   {
    "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
    "metadata": {...},
    "done": false
   }
   

2. Fragen Sie den Vorgang ab, bis er abgeschlossen ist.

   Der Vorgang ist abgeschlossen, wenn das Attribut done des Vorgangs mit langer Ausführungszeit auf true gesetzt ist.

   HTTP-Methode und URL:

   GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

   Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

   curl (Linux, macOS oder Cloud Shell)

   Führen Sie folgenden Befehl aus:

   curl -X GET \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID"

   PowerShell (Windows)

   Führen Sie folgenden Befehl aus:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID" | Select-Object -Expand Content

   Sie sollten in etwa folgende JSON-Antwort erhalten:

   {
    "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
    "metadata": {...},
    "done": true,
    "response": {
      "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
      "name": "...",
      "tier": "ENTERPRISE"
    }
   }
   

Console

So fügen Sie ein Label hinzu:

1. Rufen Sie die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.

3. Klicken Sie auf Labels.

4. Klicken Sie auf addLabel hinzufügen.

5. Fügen Sie ein Schlüssel/Wert-Paar hinzu.

6. Klicken Sie auf Speichern.

   

So bearbeiten Sie ein vorhandenes Label:

1. Rufen Sie die Seite Certificate Authority Service auf.

   Zum Certificate Authority Service

2. Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.

3. Klicken Sie auf Labels.

4. Bearbeiten Sie den Wert des Labels.

5. Klicken Sie auf Speichern.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --update-labels foo=bar

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.