Einem CA-Pool eine Richtlinie zur Zertifikatsausstellung hinzufügen

Auf dieser Seite wird beschrieben, wie Sie einem CA-Pool (Zertifizierungsstelle) eine Richtlinie zur Zertifikatsausstellung hinzufügen.

Mit einer Richtlinie für die Zertifikatausstellung können Sie den Antragstellernamen und die alternativen Antragstellernamen (Subject Alternative Names, SANs) angeben, die in den ausgestellten Zertifikaten enthalten sein können. Sie können die Richtlinie für die Zertifikatausstellung beim Erstellen eines CA-Pools angeben oder einen vorhandenen CA-Pool aktualisieren, um eine Ausstellungsrichtlinie hinzuzufügen.

Weitere Informationen finden Sie unter Übersicht über Vorlagen und Richtlinien für die Ausstellung.

Hinweise

  • Sie benötigen die IAM-Rolle „Operation Manager für CA Service“ (roles/privateca.caManager) oder „CA Service Admin“ (roles/privateca.admin). Informationen zum Zuweisen einer IAM-Rolle an ein Hauptkonto finden Sie unter Einzelne Rolle zuweisen.

  • Erstellen Sie einen CA-Pool.

Datei mit Zertifikatsausstellungsrichtlinie hinzufügen

So fügen Sie einem vorhandenen CA-Pool eine Richtlinie zur Zertifikatausstellung hinzu:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf der Seite CA-Poolmanager auf den Namen des CA-Pools, für den Sie eine Richtlinie zur Zertifikatausstellung hinzufügen möchten.

  3. Klicken Sie auf der Seite CA-Pool auf Bearbeiten.

Referenzwerte konfigurieren

So konfigurieren Sie Referenzwerte in den vom CA-Pool ausgestellten Zertifikaten:

  1. Klicken Sie auf die Ein/Aus-Schaltfläche.
  2. Klicken Sie auf Referenzwerte konfigurieren.
Basisschlüsselverwendung definieren

Mit dieser Einstellung können Sie konfigurieren, wie der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen für die Schlüsselverwendung gehören Schlüsselverschlüsselung, Datenverschlüsselung, Zertifikatsignatur und CRL-Signatur.

Weitere Informationen finden Sie unter Schlüsselnutzung.

So definieren Sie die Basisschlüsselverwendungen:

  1. Optional: Klicken Sie im angezeigten Fenster auf die Ein/Aus-Schaltfläche, wenn Sie Basisschlüsselverwendungen für die Zertifikate angeben möchten.
  2. Klicken Sie die Kästchen für die Verwendungsarten des Schlüssels an.
    3. Wählen Sie die allgemeinen Verwendungsmöglichkeiten für einen Schlüssel aus.
  3. Klicken Sie auf Weiter.
Erweiterte Schlüsselverwendung definieren

Mit dieser Einstellung können Sie detailliertere Szenarien auswählen, für die der im Zertifikat enthaltene Schlüssel verwendet werden kann. Zu den Optionen gehören unter anderem die Serverauthentifizierung, die Clientauthentifizierung, die Codesignatur und der E-Mail-Schutz.

Erweiterte Schlüsselverwendungen werden mithilfe von Objekt-IDs (OIDs) definiert. Wenn Sie die erweiterten Schlüsselverwendungen nicht konfigurieren, sind alle Szenarien für die Schlüsselverwendung zulässig.

Weitere Informationen finden Sie unter Erweiterte Schlüsselnutzung.

So definieren Sie die erweiterte Schlüsselverwendung:

  1. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um die erweiterten Schlüsselverwendungen für die Zertifikate anzugeben, die vom CA-Pool ausgestellt werden.
  2. Klicken Sie die Kästchen für die Szenarien der erweiterten Schlüsselverwendung an.
  3. Klicken Sie auf Weiter.
Richtlinienkennungen definieren

Die Erweiterung „Zertifikatsrichtlinien“ im Zertifikat enthält die Richtlinien, denen der ausstellende CA-Pool folgt. Diese Erweiterung kann Informationen dazu enthalten, wie Identitäten vor der Zertifikatsausstellung validiert, Zertifikate widerrufen und die Integrität des CA-Pools sichergestellt werden. Mit dieser Erweiterung können Sie die vom CA-Pool ausgestellten Zertifikate überprüfen und sehen, wie die Zertifikate verwendet werden.

Weitere Informationen finden Sie unter Zertifizierungsrichtlinien.

So legen Sie die Richtlinie fest, die die Zertifikatsnutzung definiert:

  1. Optional: Fügen Sie die Richtlinien-ID in das Feld Richtlinien-IDs ein.
  2. Klicken Sie auf Weiter.
AIA-OCSP-Server hinzufügen

Die AIA-Erweiterung in einem Zertifikat enthält die folgenden Informationen:

  • Adresse der OCSP-Server, über die Sie den Widerrufsstatus des Zertifikats prüfen können.
  • Die Zugriffsmethode für den Aussteller des Zertifikats.

Weitere Informationen finden Sie unter Zugriff auf Informationen zu Behörden.

So fügen Sie die OCSP-Server hinzu, die im Feld „AIA-Erweiterung“ in den Zertifikaten angezeigt werden: Das folgende Verfahren ist optional.

  1. Optional: Klicken Sie auf Element hinzufügen.
  2. Fügen Sie im Feld Server-URL die URL des OCSP-Servers hinzu.
  3. Klicken Sie auf Fertig.
  4. Klicken Sie auf Weiter.
Zusätzliche Erweiterungen konfigurieren

So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen: Das folgende Verfahren ist optional.

  1. Klicken Sie auf Zeile hinzufügen.
  2. Fügen Sie im Feld Objektkennung eine gültige Objektkennung in Form von punktgetrennten Ziffern ein.
  3. Fügen Sie im Feld Wert den base64-codierten Wert für die Kennung hinzu.
  4. Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.

Klicken Sie auf Fertig, um alle Konfigurationen für Basiswerte zu speichern.

Einschränkungen für Erweiterungen konfigurieren

Wenn Sie nicht möchten, dass alle Erweiterungen aus Zertifikatsanfragen in die ausgestellten Zertifikate aufgenommen werden, klicken Sie auf die Ein/Aus-Schaltfläche.

Nachdem Sie auf die Ein/Aus-Schaltfläche geklickt haben, wird das Feld Bekannte Zertifikatserweiterungen angezeigt, in dem Sie die Zertifikatserweiterungen auswählen können. So wählen Sie die Zertifikatserweiterung aus:

  1. Optional: Klicken Sie auf das Feld Bekannte Zertifikaterweiterungen und entfernen Sie die nicht erforderlichen Erweiterungen aus dem Menü.
  2. Optional: Fügen Sie im Feld Benutzerdefinierte Erweiterungen die Objekt-IDs für Erweiterungen hinzu, die in den vom CA-Pool ausgestellten Zertifikaten enthalten sein sollen.
Identitätseinschränkungen konfigurieren

So konfigurieren Sie Einschränkungen für den Antragsteller und die SANs in den Zertifikaten, die vom CA-Pool ausgestellt werden:

  1. Optional: Wenn Sie nicht zulassen möchten, dass der Inhaber in Zertifikatsanfragen weitergegeben wird, klicken Sie auf den Schalter.
  2. Optional: Wenn Sie nicht zulassen möchten, dass alternative Antragstellernamen in Zertifikatsanfragen weitergegeben werden, klicken Sie auf die Ein/Aus-Schaltfläche.
  3. Optional: Fügen Sie einen CEL-Ausdruck (Common Expression Language) hinzu, um Einschränkungen für Zertifikatsinhaber festzulegen. Weitere Informationen finden Sie unter CEL verwenden.
  4. Klicken Sie auf Weiter.

Informationen zum Konfigurieren zusätzlicher Parameter in der Richtlinie zur Zertifikatausstellung finden Sie unter IssuancePolicy.

gcloud

Wenn Sie mit der Google Cloud CLI einem Zertifizierungsstellenpool eine Richtlinie zur Ausstellung von Zertifikaten hinzufügen möchten, müssen Sie eine YAML-Datei erstellen, die die Einschränkungen für die Zertifikate beschreibt, die der Zertifizierungsstellenpool ausstellen kann. Die Inhalte entsprechen einer IssuancePolicy.

  1. Erstellen Sie mit dem Cloud Shell-Editor eine Datei policy.yaml mit folgendem Inhalt:

    identityConstraints:
  allowSubjectPassthrough: true
  allowSubjectAltNamesPassthrough: true

    Wobei:

    • allowSubjectPassthrough ist ein Pflichtfeld. Wenn das Feld allowSubjectPassthrough auf true festgelegt ist, wird das Subject-Feld aus einer Zertifikatsanfrage in das signierte Zertifikat kopiert. Andernfalls wird das angeforderte Thema verworfen.
    • Wenn das Feld allowSubjectAltNamesPassthrough auf true festgelegt ist, wird die SubjectAltNames-Erweiterung aus einer Zertifikatsanfrage in das signierte Zertifikat kopiert. Andernfalls werden die angeforderten SubjectAltNames verworfen.

  2. Führen Sie den folgenden Befehl aus, um die Richtlinie für die Zertifikatausstellung eines CA-Pools mit der im vorherigen Schritt erstellten Datei zu aktualisieren:

    gcloud privateca pools update POOL_NAME \
  --issuance-policy FILE_PATH

    Ersetzen Sie Folgendes:

    • POOL_NAME: Name des CA-Pools.
    • FILE_PATH: Der Pfad zur Datei policy.yaml.

    Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privateca pools update.

Unterstützte Einschränkungen

Der CA-Dienst unterstützt die folgenden Einschränkungen der Richtlinien für die Ausstellung. Sie können die folgenden Einschränkungen nach Bedarf kombinieren, um eine benutzerdefinierte Richtlinie für die Zertifikatausstellung zu erstellen.

Zulässige X.509-Werte einschränken oder erzwingen

Ein CA-Pool kann die zulässigen X.509-Werte in Zertifikatsanfragen einschränken, indem das Feld passthrough_extensions konfiguriert wird.

Ein CA-Pool kann auch X.509-Werte angeben, die allen ausgestellten Zertifikaten hinzugefügt werden sollen. Dazu wird das Feld baseline_values verwendet, um alle angeforderten Werte zu überschreiben.

Mit den baseline_values-Werten eines CA-Pools können Sie die folgenden Eigenschaften angeben:

Sie können diese Optionen auch kombinieren.

Wenn Sie einen Teil des Felds baseline_values aktualisieren, werden alle Werte im Feld baseline_values durch die Aktualisierung ersetzt.

  • Beispiel: Eine Zertifizierungsstelle darauf beschränken, nur Endentitätszertifikate mit X.509-Werten für die gegenseitige TLS-Authentifizierung (mTLS) auszustellen.

    policy.yaml

    baselineValues:
  caOptions:
    isCa: false
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
      keyEncipherment: true
    extendedKeyUsage:
       clientAuth: true
       serverAuth: true

  • Beispiel: Eine Zertifizierungsstelle darauf beschränken, nur Code Signing-Zertifikate für Endentitäten mit einer Baseline-AIA-OCSP-URL auszustellen.

    policy.yaml

    baselineValues:
  caOptions:
    isCa: false
  keyUsage:
    baseKeyUsage:
      digitalSignature: true
    extendedKeyUsage:
      codeSigning: true
  aiaOcspServers:
    - "http://foo.bar/revocation"
  additionalExtensions:
  - objectId:
      objectIdPath:
        - 1
        - 2
        - 3
    critical: false
    value: "base64 encoded extension value"

Weitere Informationen zum Zertifikatsprofil für die mTLS-Authentifizierung von Endentitäten finden Sie unter mTLS für Endentitäten.

Zulässige Identitätsfelder einschränken

Wenn Sie die Identität von Zertifikaten einschränken möchten, die über einen CA-Pool ausgestellt werden, können Sie dem Feld identity_constraints der Richtlinie für die Ausstellung einen Common Expression Language (CEL)-Ausdruck hinzufügen. Mit den CEL-Ausdrücken lassen sich beliebige Einschränkungen für den Domainnamen des Antragstellers (einschließlich des gemeinsamen Namens) und die SANs eines Zertifikats festlegen.

Weitere Informationen zur Verwendung eines CEL-Ausdrucks zum Einschränken von Subject und SANs finden Sie unter CEL verwenden.

  • Beispiel: Die Zertifizierungsstelle darf nur Zertifikate ausstellen, die mit einem bestimmten Subjekt übereinstimmen.

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: true
  allowSubjectAltNamesPassthrough: false
  celExpression:
    expression: 'subject.organization == "Example LLC" && subject.country_code in ["US", "UK"]'

    Das Feld celExpression ist optional. Verwenden Sie einen CEL-Ausdruck (Common Expression Language), um den aufgelösten X.509-Inhaber und SAN zu validieren, bevor ein Zertifikat signiert wird. Weitere Informationen zur Verwendung von CEL-Ausdrücken finden Sie unter CEL verwenden.

  • Beispiel: Nur SANs mit DNS-Namen wie us.google.org oder auf .google.com endend zulassen.

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == DNS && (san.value == "us.google.org" || san.value.endsWith(".google.com")) )'

  • Beispiel: Nur SANs mit URIs https://google.com/webhp oder mit spiffe://example-trust-domain-1/ns/namespace1/sa/ beginnend zulassen.

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == URI && (san.value == "https://google.com/webhp" || san.value.startsWith("spiffe://example-trust-domain-1/ns/namespace1/sa/")) )'

  • Beispiel: Nur SANs mit E-Mail-Adressen example@google.com oder auf @google.org endend zulassen.

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == EMAIL && (san.value == "example@google.com" || san.value.endsWith("@google.org")) )'

  • Beispiel: Nur benutzerdefinierte SANs mit einer bestimmten OID und einem benutzerdefinierten Wert zulassen.

    policy.yaml

    identityConstraints:
  allowSubjectPassthrough: false
  allowSubjectAltNamesPassthrough: true
  celExpression:
    expression: 'subject_alt_names.all(san, san.type == CUSTOM && san.oid == [1, 2, 3, 4] && san.value == "custom-data" )'

Maximale Lebensdauer der ausgestellten Zertifikate einschränken

Verwenden Sie das Feld maximum_lifetime, um die Lebensdauer der ausgestellten Zertifikate einzuschränken. Wenn die angeforderte Lebensdauer eines Zertifikats länger als die maximale Lebensdauer ist, wird die Lebensdauer des Zertifikats explizit gekürzt.

Beispiel

Wenn Sie eine maximale Lebensdauer von 30 Tagen zulassen möchten, verwenden Sie die folgende policy.yaml-Datei:

policy.yaml

maximumLifetime: 2592000s

Zulässige Zertifikatsausstellungsmodi einschränken

Sie können ein Zertifikat entweder über eine Anfrage zur Signierung des Zertifikats (Certificate Signing Request, CSR) oder über eine Inline-Beschreibung der angeforderten Werte anfordern. Einige Organisationen ziehen es möglicherweise vor, Einschränkungen für die Option festzulegen, die verwendet werden kann, da für die letztere Methode kein Nachweis des Besitzes des zugehörigen privaten Schlüssels erforderlich ist. Sie können diese Einschränkungen mit dem Feld allowedIssuanceModes festlegen.

Weitere Informationen zum Angeben der Möglichkeiten, wie Zertifikate bei einem CA-Pool angefordert werden können, finden Sie unter IssuanceModes.

Weitere Informationen zum Anfordern von Zertifikaten finden Sie unter Zertifikatsanfrage erstellen.

  • Beispiel: Nur Ausstellung von CSR-Zertifikaten zulassen.

policy.yaml

allowedIssuanceModes:
  allowCsrBasedIssuance: True
  allowConfigBasedIssuance: False

Public-Key-Algorithmen der Zertifikatsanfrage einschränken

Wenn Sie die Mindestschlüssellänge und die öffentlichen Schlüsselalgorithmen einschränken möchten, die für Zertifikate verwendet werden können, können Sie das Feld allowedKeyTypes in der YAML-Datei der Richtlinie zur Zertifikatausstellung verwenden. Wenn dieses Feld angegeben ist, muss der öffentliche Schlüssel der Zertifikatsanfrage mit einem der in der YAML-Datei aufgeführten Schlüsseltypen übereinstimmen. Wenn dieses Feld nicht angegeben ist, können Sie jeden beliebigen Schlüssel verwenden, mit Ausnahme von RSA-Schlüsseln, deren Modulus kleiner als 2.048 Bit ist. Wenn Sie einen RSA-Schlüssel mit einer Modulusgröße von weniger als 2.048 Bit verwenden möchten, müssen Sie dies in der Richtlinie zur Zertifikatausstellung explizit zulassen.

Beispiel: RSA-Schlüssel mit einer Modulusgröße zwischen 3.072 Bit und 4.096 Bit (einschließlich) oder ECDSA-Schlüssel (Elliptic Curve Digital Signature Algorithm) über die NIST-P-256-Kurve zulassen.

policy.yaml

allowedKeyTypes:
- rsa:
    minModulusSize: 3072
    maxModulusSize: 4096
- ellipticCurve:
    signatureAlgorithm: ECDSA_P256

Sie können einen der folgenden Algorithmen für elliptische-Kurven-Signaturen auswählen:

  • EC_SIGNATURE_ALGORITHM_UNSPECIFIED – Es kann jeder Signaturalgorithmus verwendet werden.
  • ECDSA_P256 – Elliptische-Kurven-Digitalsignatur über die NIST-P-256-Kurve.
  • ECDSA_P384 – Elliptische-Kurven-Digitalsignatur über die NIST-P-384-Kurve.
  • EDDSA_25519 – Edwards-Kurven-Digital Signature Algorithm über die Kurve 25519, wie in RFC 8410 beschrieben.

Nächste Schritte