使用证书模板请求证书
本页介绍了如何使用证书模板请求证书。
借助证书模板,您可以对证书颁发实施精细的政策控制。例如,您可以使用证书模板来标准化组织中 CA 池中的服务器 TLS 证书的颁发。或者,您也可以使用证书模板在更精细的级别(例如对特定用户)应用政策。如果您需要限制不同用户可以签发的证书类型,这会非常有用。您还可以针对常见的签发场景重复使用模板。
准备工作
如需获得使用证书模板签发证书所需的权限,请让您的管理员为您授予证书模板的 CA Service Certificate Template User (
roles/privateca.templateUser
) IAM 角色。如需详细了解 CA 服务的预定义 IAM 角色,请参阅使用 IAM 进行访问权限控制。
如需了解如何向主账号授予 IAM 角色,请参阅授予单个角色。
测试证书颁发
在使用证书模板请求已签名证书之前,我们建议您验证证书模板是否能够成功生成证书。如果 CA 池的颁发政策与证书模板的政策之间存在冲突,证书颁发将会失败。通过测试签发,您可以主动发现并解决这些冲突。请注意,测试证书未采用 PEM 编码,未签名,且生成不收费。
如需使用证书模板测试证书颁发,请按以下步骤操作:
前往 Google Cloud 控制台中的 Certificate Authority Service 页面。
点击模板管理器标签页。
点击要测试的证书模板。 系统随即会显示模板详情页面。
如需创建测试请求,请点击创建证书,然后点击测试证书签发。系统随即会显示证书请求表单。
指定创建证书请求所需的以下详细信息:
- 区域:证书所在的位置。此值必须与 CA 池的位置相同。
- CA 池:负责颁发证书的 CA 池。
- 证书模板:您要用于颁发证书的模板。
- 域名:您要使用 SSL 或 TLS 证书保护的网站的域名。
点击生成证书。
证书创建完毕后,点击查看。测试或样本证书会显示在同一页面上的单独面板中。
如果证书签发因冲突而失败,请解决冲突,然后重新提交测试证书请求。
使用证书模板颁发证书
如需使用证书模板颁发已签名证书,请执行以下操作:
前往 Google Cloud 控制台中的 Certificate Authority Service 页面。
点击模板管理器标签页。
在证书模板页面中,点击要使用的证书模板。 系统随即会显示模板详情页面。
点击创建证书。
选择区域。此区域必须与您打算使用的 CA 池的区域相同。
选择 CA 池。
如需使用证书签名请求 (CSR) 生成证书,请参阅使用 CSR 请求证书。
如需使用自动生成的密钥生成证书,请参阅使用自动生成的密钥请求证书。
生成证书
- 点击生成证书。如果证书成功生成,系统会显示一条消息。
- 如需查看生成的证书,请点击查看证书,然后点击查看。
可选:下载已签名的证书
- 如需下载 PEM 编码的证书链,请点击下载证书链。
- 如需下载关联的 PEM 编码私钥,请点击下载私钥。
如需使用证书模板签发证书,请按照以下格式将 --template
标志添加到 gcloud privateca certificates create
命令:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
将 CERTIFICATE_TEMPLATE 替换为您要用于颁发此证书的证书模板的名称。指定的模板必须与发证 CA 池位于同一位置。如需了解详情,请参阅用于生成测试 DNS 证书和生成生产证书的示例。
如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
如果 CA 池的颁发政策与证书模板之间检测到政策冲突,证书请求可能会失败。在这种情况下,您必须先解决政策冲突,然后才能再次提交证书请求。
分享证书请求链接
如需与贵组织中的其他人共享证书申请表单链接,以便他们使用相同的参数申请证书,请执行以下操作:
- 在 Google Cloud 控制台中,前往 CA 池管理器标签页,然后点击分享请求表单链接。
- 在随即显示的共享请求表单链接面板中,选择您在创建请求时选择的 CA 池和证书模板。系统会显示证书请求链接。
- 复制链接,然后根据需要进行分享。
查看使用模板颁发的证书
如需查看使用证书模板颁发的证书,请执行以下操作:
- 在 Google Cloud 控制台中,前往模板管理器标签页。
- 点击您用于颁发证书的证书模板。
- 在模板详情页面上,点击证书。 系统会显示使用所选证书模板颁发的证书列表。
后续步骤
- 了解如何查看已签发的证书。