Zertifikat mit einer Zertifikatsvorlage anfordern
Auf dieser Seite wird beschrieben, wie Sie ein Zertifikat mithilfe einer Zertifikatvorlage anfordern.
Mit Zertifikatvorlagen können Sie die Ausstellung von Zertifikaten mithilfe von detaillierten Richtlinien steuern. Mithilfe von Zertifikatsvorlagen können Sie beispielsweise die Ausstellung von Server-TLS-Zertifikaten für alle CA-Pools in Ihrer Organisation standardisieren. Sie können auch Zertifikatvorlagen verwenden, um Richtlinien auf einer detaillierteren Ebene anzuwenden, z. B. auf bestimmte Nutzer. Das ist hilfreich, wenn Sie die Arten von Zertifikaten einschränken möchten, die von verschiedenen Personen ausgestellt werden können. Sie können auch Vorlagen für gängige Ausstellungsszenarien wiederverwenden.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Nutzer der CA Service-Zertifikatsvorlage“ (
roles/privateca.templateUser
) für die Zertifikatsvorlage zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Ausstellen von Zertifikaten mit einer Zertifikatsvorlage benötigen.Weitere Informationen zu den vordefinierten IAM-Rollen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Zuweisen einer IAM-Rolle an ein Hauptkonto finden Sie unter Einzelne Rolle zuweisen.
Zertifikatsausstellung testen
Bevor Sie eine Zertifikatsvorlage verwenden, um ein signiertes Zertifikat anzufordern, sollten Sie prüfen, ob mit der Vorlage ein Zertifikat generiert werden kann. Die Zertifikatsausstellung schlägt fehl, wenn ein Konflikt zwischen den Ausstellungsrichtlinien des Zertifizierungsstellenpools und den Richtlinien der Zertifikatsvorlage besteht. Wenn Sie die Ausstellung testen, können Sie diese Konflikte proaktiv erkennen und beheben. Testzertifikate sind nicht PEM-codiert, nicht signiert und die Generierung ist kostenlos.
So testen Sie die Zertifikatsausstellung mit einer Zertifikatsvorlage:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab Template Manager.
Klicken Sie auf die Zertifikatsvorlage, die Sie testen möchten. Die Seite Vorlagendetails wird angezeigt.
Klicken Sie auf Zertifikat erstellen und dann auf Testzertifikat ausstellen, um einen Testantrag zu erstellen. Das Formular für die Zertifikatsanfrage wird angezeigt.
Geben Sie die folgenden Details an, die zum Erstellen einer Zertifikatsanfrage erforderlich sind:
- Region: Speicherort des Zertifikats. Dieser muss mit dem Standort des CA-Pools übereinstimmen.
- CA-Pool: der CA-Pool, der für die Ausstellung des Zertifikats verantwortlich ist.
- Zertifikatsvorlage: Die Vorlage, die Sie für die Ausstellung von Zertifikaten verwenden möchten.
- Domain: Der Domainname der Website, die Sie mit einem SSL- oder TLS-Zertifikat sichern möchten.
Klicken Sie auf Zertifikat generieren.
Klicken Sie nach der Erstellung des Zertifikats auf Anzeigen. Das Test- oder Musterzertifikat wird auf derselben Seite in einem separaten Bereich angezeigt.
Wenn die Zertifikatsausstellung aufgrund von Konflikten fehlschlägt, beheben Sie die Konflikte und reichen Sie den Antrag auf das Testzertifikat noch einmal ein.
Zertifikate mit einer Zertifikatsvorlage ausstellen
So stellen Sie ein signiertes Zertifikat mit einer Zertifikatsvorlage aus:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab Template Manager.
Klicken Sie auf der Seite Zertifikatvorlagen auf die gewünschte Zertifikatvorlage. Die Seite Vorlagendetails wird angezeigt.
Klicken Sie auf Zertifikat erstellen.
Wählen Sie eine Region aus. Diese Region muss mit der Region des CA-Pools übereinstimmen, den Sie verwenden möchten.
Wählen Sie den CA-Pool aus.
Informationen zum Generieren eines Zertifikats mit einer CSR finden Sie unter Zertifikat mit CSR anfordern.
Informationen zum Generieren eines Zertifikats mit einem automatisch generierten Schlüssel finden Sie unter Zertifikat mit einem automatisch generierten Schlüssel anfordern.
Zertifikat generieren
- Klicken Sie auf Zertifikat generieren. Wenn das Zertifikat erfolgreich generiert wurde, wird eine Meldung angezeigt.
- Wenn Sie das generierte Zertifikat aufrufen möchten, klicken Sie auf Zertifikat anzeigen und dann auf Anzeigen.
Optional: Signiertes Zertifikat herunterladen
- Klicken Sie auf Zertifikatskette herunterladen, um die PEM-codierte Zertifikatskette herunterzuladen.
- Klicken Sie auf Privaten Schlüssel herunterladen, um den zugehörigen PEM-codierten privaten Schlüssel herunterzuladen.
gcloud
Wenn Sie ein Zertifikat mit einer Zertifikatvorlage ausstellen möchten, fügen Sie dem Befehl gcloud privateca certificates create
das Flag --template
im folgenden Format hinzu:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Ersetzen Sie CERTIFICATE_TEMPLATE durch den Namen der Zertifikatvorlage, die Sie für die Ausstellung dieses Zertifikats verwenden möchten. Die angegebene Vorlage muss sich am selben Speicherort wie der ausstellende CA-Pool befinden. Weitere Informationen finden Sie in den Beispielen zum Generieren von Test-DNS-Zertifikaten und zum Generieren von Produktionszertifikaten.
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Eine Zertifikatsanfrage kann fehlschlagen, wenn ein Richtlinienkonflikt zwischen der Ausstellungsrichtlinie des CA-Pools und der Zertifikatsvorlage erkannt wird. In diesem Fall müssen Sie den Richtlinienkonflikt beheben, bevor Sie den Zertifikatsantrag noch einmal einreichen können.
Link zur Zertifikatsanfrage teilen
So teilen Sie den Link zu einem Formular zum Anfordern eines Zertifikats mit anderen Personen in Ihrer Organisation, damit diese ein Zertifikat mit denselben Parametern anfordern können:
Console
- Rufen Sie in der Google Cloud Console den Tab CA Pool Manager auf und klicken Sie auf Link zum Teilen des Antragsformulars.
- Wählen Sie im Bereich Freigabelink für Anfrageformular den CA-Pool und die Zertifikatsvorlage aus, die Sie für die Erstellung der Anfrage ausgewählt haben. Der Link zur Zertifikatsanfrage wird angezeigt.
- Kopieren Sie den Link und teilen Sie ihn nach Bedarf.
Mit einer Vorlage ausgestellte Zertifikate ansehen
So rufen Sie die mit einer Zertifikatsvorlage ausgestellten Zertifikate auf:
Console
- Rufen Sie in der Google Cloud Console den Tab Vorlagenmanager auf.
- Klicken Sie auf die Zertifikatsvorlage, die Sie für die Zertifikatsausstellung verwendet haben.
- Klicken Sie auf der Seite Vorlagendetails auf Zertifikate. Die Liste der mit der ausgewählten Zertifikatsvorlage ausgestellten Zertifikate wird angezeigt.