Zertifikat mit einer Zertifikatsvorlage anfordern
Auf dieser Seite wird beschrieben, wie Sie ein Zertifikat mithilfe einer Zertifikatsvorlage anfordern.
Mit Zertifikatsvorlagen können Sie detaillierte Richtlinienkontrollen für die Ausstellung von Zertifikaten implementieren. Beispielsweise können Sie Zertifikatsvorlagen verwenden, um die Ausstellung von Server-TLS-Zertifikaten über CA-Pools in Ihrer Organisation zu standardisieren. Sie können auch Zertifikatsvorlagen verwenden, um Richtlinien detaillierter anzuwenden, z. B. für bestimmte Nutzer. Dies ist nützlich, wenn Sie die Arten von Zertifikaten einschränken müssen, die verschiedene Personen ausstellen können. Sie können Vorlagen auch für gängige Ausstellungsszenarien wiederverwenden.
Hinweise
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „CA Service Certificate Template User“ (
roles/privateca.templateUser
) für die Zertifikatsvorlage zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Ausstellen von Zertifikaten mit einer Zertifikatsvorlage benötigen.Weitere Informationen zu den vordefinierten IAM-Rollen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Zuweisen einer IAM-Rolle zu einem Hauptkonto finden Sie unter Eine einzelne Rolle zuweisen.
Zertifikatsausstellung testen
Bevor Sie ein signiertes Zertifikat über eine Zertifikatsvorlage anfordern, sollten Sie prüfen, ob damit ein Zertifikat generiert werden kann. Die Zertifikatsausstellung schlägt fehl, wenn ein Konflikt zwischen den Ausstellungsrichtlinien des CA-Pools und den Richtlinien der Zertifikatsvorlage besteht. Durch das Testen der Ausstellung können Sie diese Konflikte proaktiv identifizieren und lösen. Testzertifikate sind nicht PEM-codiert, nicht signiert und es fallen keine Kosten für die Erstellung an.
So testen Sie die Zertifikatsausstellung mithilfe einer Zertifikatsvorlage:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab Vorlagenmanager.
Klicken Sie auf die Zertifikatsvorlage, die Sie testen möchten. Die Seite Vorlagendetails wird angezeigt.
Klicken Sie zum Erstellen einer Testanfrage auf Zertifikat erstellen und dann auf Zertifikatsausstellung testen. Das Formular zur Zertifikatsanfrage wird angezeigt.
Geben Sie die folgenden Details an, die zum Erstellen einer Zertifikatsanfrage erforderlich sind:
- Region: Standort des Zertifikats. Dies muss mit dem Standort des Zertifizierungsstellenpools übereinstimmen.
- CA-Pool: der für die Ausstellung des Zertifikats zuständige CA-Pool.
- Zertifikatsvorlage: Die Vorlage, die Sie für die Zertifikatsausstellung verwenden möchten.
- Domain: Der Domainname der Website, die Sie mit einem SSL- oder TLS-Zertifikat sichern möchten.
Klicken Sie auf Zertifikat generieren.
Klicken Sie nach dem Erstellen des Zertifikats auf Ansehen. Das Test- oder Beispielzertifikat wird auf derselben Seite in einem separaten Bereich angezeigt.
Wenn die Zertifikatsausstellung aufgrund von Konflikten fehlschlägt, lösen Sie die Konflikte und senden Sie die Testzertifikatsanfrage noch einmal.
Zertifikate mit einer Zertifikatsvorlage ausstellen
So stellen Sie ein signiertes Zertifikat mithilfe einer Zertifikatsvorlage aus:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab Vorlagenmanager.
Klicken Sie auf der Seite Zertifikatsvorlagen auf die Zertifikatsvorlage, die Sie verwenden möchten. Die Seite Vorlagendetails wird angezeigt.
Klicken Sie auf Zertifikat erstellen.
Wählen Sie eine Region aus. Diese Region muss mit der Region des Zertifizierungsstellenpools übereinstimmen, den Sie verwenden möchten.
Wählen Sie den Zertifizierungsstellenpool aus.
Informationen zum Generieren eines Zertifikats mit einer Anfrage zur Signierung des Zertifikats (Certificate Signing Request, CSR) finden Sie unter Zertifikat mit CSR anfordern.
Informationen zum Generieren eines Zertifikats mit einem automatisch generierten Schlüssel finden Sie unter Zertifikat mit einem automatisch generierten Schlüssel anfordern.
Zertifikat generieren
- Klicken Sie auf Zertifikat generieren. Wenn das Zertifikat erfolgreich erstellt wurde, wird eine Meldung angezeigt.
- Zum Aufrufen des generierten Zertifikats klicken Sie auf Zertifikat anzeigen und dann auf Anzeigen.
Optional: Signiertes Zertifikat herunterladen
- Klicken Sie auf Zertifikatskette herunterladen, um die PEM-codierte Zertifikatskette herunterzuladen.
- Klicken Sie auf Privaten Schlüssel herunterladen, um den zugehörigen PEM-codierten privaten Schlüssel herunterzuladen.
gcloud
Wenn Sie ein Zertifikat mithilfe einer Zertifikatsvorlage ausstellen möchten, fügen Sie dem Befehl gcloud privateca certificates create
das Flag --template
im folgenden Format hinzu:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Ersetzen Sie CERTIFICATE_TEMPLATE durch den Namen der Zertifikatsvorlage, die Sie für die Ausstellung dieses Zertifikats verwenden möchten. Die angegebene Vorlage muss sich am selben Standort wie der ausstellende CA-Pool befinden. Weitere Informationen finden Sie in den Beispielen zum Generieren von Test-DNS-Zertifikaten und Generieren von Produktionszertifikaten.
Terraform
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
Link zur Zertifikatsanfrage teilen
Wenn Sie einen Link zu einem Zertifikatsanfrageformular für andere Personen in Ihrer Organisation freigeben möchten, damit diese ein Zertifikat mit denselben Parametern anfordern können, gehen Sie so vor:
Console
- Wechseln Sie in der Google Cloud Console zum Tab CA-Pool-Manager und klicken Sie auf Link zum Antragsformular freigeben.
- Wählen Sie im angezeigten Bereich Link für Anfrageformular teilen den Zertifizierungsstellenpool und die Zertifikatsvorlage aus, die Sie zum Erstellen Ihrer Anfrage ausgewählt haben. Der Link zur Zertifikatsanfrage wird angezeigt.
- Kopieren Sie den Link und teilen Sie ihn nach Bedarf.
Richtlinienkonflikte beheben
Zertifikatanfragen schlagen mit einem Fehler über ein ungültiges Argument fehl, wenn ein Konflikt zwischen der Ausstellungsrichtlinie des Zertifizierungsstellenpools und der Zertifikatsvorlage besteht. Wenn beispielsweise dieselbe Erweiterung (z. B. die Basisschlüsselverwendung) in den Basiswerten des Zertifizierungsstellenpools und in den vordefinierten Werten der Zertifikatsvorlage definiert ist. Oder wenn eine Richtlinie Erweiterungseinschränkungen hat, die eine bestimmte Erweiterung ausschließt, und die andere Richtlinie einen Wert für diese Erweiterung in ihren Referenzwerten definiert.
So können Sie sich die Richtlinienkonflikte ansehen und sie beheben:
Console
- Klicken Sie auf den Link Fehlerbehebung für Ausstellungsrichtlinien, der mit der Fehlermeldung angezeigt wird. Es wird eine Seite zur Fehlerbehebung angezeigt, auf der Sie die Referenzwerte und Erweiterungseinschränkungen in der Ausstellungsrichtlinie des Zertifizierungsstellenpools mit den Referenzwerten und Erweiterungseinschränkungen in der Richtlinie der Zertifikatsvorlage vergleichen können. Richtlinienkonflikte sind hervorgehoben.
- Rufen Sie entweder den Zertifizierungsstellenpool oder die Zertifikatsvorlage auf, um die in Konflikt stehenden Werte zu aktualisieren und den Konflikt zu beheben.
- Nachdem der Konflikt gelöst wurde, reichen Sie die Zertifikatsanfrage noch einmal ein.
Mit einer Vorlage ausgestellte Zertifikate ansehen
So rufen Sie die Zertifikate auf, die mit einer Zertifikatsvorlage ausgestellt wurden:
Console
- Rufen Sie in der Google Cloud Console den Tab Vorlagenmanager auf.
- Klicken Sie auf die Zertifikatsvorlage, die Sie für die Zertifikatsausstellung verwendet haben.
- Klicken Sie auf der Seite Vorlagendetails auf Zertifikate. Die Liste der Zertifikate, die mit der ausgewählten Zertifikatsvorlage ausgestellt wurden, wird angezeigt.