Diese Seite wurde von der Cloud Translation API übersetzt.

Zertifikat mit der Google Cloud CLI ausstellen

Auf dieser Seite wird erläutert, wie Sie einen Pool einer Zertifizierungsstelle (Certificate Authority, CA) erstellen und ein Zertifikat mit der Google Cloud CLI ausstellen.

Mit CA Service können Sie private Zertifizierungsstellen bereitstellen und verwalten, ohne und Infrastruktur.

Hinweise

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Enable the Certificate Authority Service API:
```
gcloud services enable privateca.googleapis.com
```
Make sure that billing is enabled for your Google Cloud project.
Konfigurieren Sie einen Standardspeicherort für die Verwendung in den gcloud-Befehlen in dieser Kurzanleitung.
```
gcloud config set privateca/location LOCATION
```
CA Service-Ressourcen wie CA-Pools und CAs befinden sich an einem einzigen Google Cloud-Speicherort, den Sie nach dem Erstellen dieser Ressourcen nicht mehr ändern können.

Hinweis: Wenn Sie diesen Schritt überspringen, müssen Sie das Flag --location einigen der folgenden Befehle.

CA-Pool erstellen

Ein Zertifizierungsstellenpool besteht aus mehreren Zertifizierungsstellen. Mit einem CA-Pool können Sie Vertrauensketten ohne Ausfallzeiten für Arbeitslasten rotieren.

Führen Sie den folgenden Befehl aus, um einen CA-Pool in der Enterprise-Stufe zu erstellen:

gcloud privateca pools create POOL_ID --tier "enterprise"

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.

Die Namen aller CA Service-Ressourcen dürfen nur das Feld zulässige Zeichen, d. h. alle Buchstaben, Ziffern, Bindestriche und Unterstriche. Die maximal zulässige Länge eines Namens beträgt 63 Zeichen.

Stamm-CA erstellen

Ein Zertifizierungsstellenpool ist bei der Erstellung leer. Wenn Sie Zertifikate von einem CA-Pool anfordern möchten, müssen Sie eine Zertifizierungsstelle hinzufügen.

Führen Sie den folgenden Befehl aus, um eine Stamm-CA zu erstellen und dem von Ihnen erstellten CA-Pool hinzuzufügen:

gcloud privateca roots create CA_ID --pool POOL_ID --subject "CN=Example Prod Root CA, O=Google"

Ersetzen Sie Folgendes:

CA_ID: Der Name der Stammzertifizierungsstelle.
POOL_ID: Der Name des CA-Pools.

CA Service gibt beim Erstellen der Stammzertifizierungsstelle den folgenden Befehl zurück:

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

Aktivieren Sie die Stammzertifizierungsstelle, indem Sie y eingeben, wenn Sie von der gcloud CLI dazu aufgefordert werden.

Da Sie nun einen Zertifizierungsstellenpool mit einer Stammzertifizierungsstelle haben, können Sie mit dem Erstellen Zertifikate.

Zertifikat erstellen

So erstellen Sie mit der neu erstellten Zertifizierungsstelle ein Zertifikat:

Installieren Sie die Pyca Cryptography-Bibliothek mit dem Befehl pip.
```
  pip install --user "cryptography>=2.2.0"
```
CA Service verwendet die Pyca Cryptography-Bibliothek, um ein neues asymmetrisches Schlüsselpaar auf dem lokalen Computer speichern. Dieser Schlüssel wird nie an den CA-Dienst gesendet.
Damit das Google Cloud SDK die Pyca Cryptography-Bibliothek verwenden kann, müssen Sie Websitepakete zu aktivieren.
macOS oder Linux
```
export CLOUDSDK_PYTHON_SITEPACKAGES=1
```
Windows
```
set CLOUDSDK_PYTHON_SITEPACKAGES=1
```

Erstellen Sie ein Zertifikat.

  gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

Ersetzen Sie POOL_ID durch die Ressourcen-ID der Zertifizierungsstelle. den Sie erstellt haben.

CA Service gibt die folgende Antwort zurück:

  Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

Bereinigen

Führen Sie eine Bereinigung durch, indem Sie den Zertifizierungsstellenpool, die Zertifizierungsstelle und das dafür erstellte Projekt löschen Kurzanleitung.

Widerrufen Sie das Zertifikat.
Löschen Sie die Zertifizierungsstelle.

Sie können eine Zertifizierungsstelle erst löschen, wenn Sie alle Zertifikate widerrufen haben veröffentlicht wurden.
1. Deaktivieren Sie die Zertifizierungsstelle.
```
gcloud privateca roots disable CA_ID --pool=POOL_ID
```
  Ersetzen Sie Folgendes:
  - CA_ID: Die Ressourcen-ID der Zertifizierungsstelle.
  - POOL_ID: Die Ressourcen-ID des CA-Pools.
2. Löschen Sie die Zertifizierungsstelle.
```
gcloud privateca roots delete CA_ID --pool=POOL_ID
```
Der Status der Zertifizierungsstelle ändert sich in Deleted. Der CA-Dienst löscht die Zertifizierungsstelle 30 Tage nach dem Start des Löschvorgangs endgültig.
Löschen Sie den Zertifizierungsstellenpool.

Sie können einen CA-Pool erst löschen, nachdem die darin enthaltene Zertifizierungsstelle endgültig gelöscht wurde.
```
gcloud privateca pools delete POOL_ID
```
Löschen Sie das Projekt.