Zertifikate verwalten

Auf dieser Seite wird beschrieben, wie Sie SSL-Zertifikate (Transport Layer Security) mit dem Zertifikatmanager erstellen und verwalten. Der Zertifikatmanager unterstützt die folgenden Typen von TLS (SSL)-Zertifikaten:

  • Von Google verwaltete Zertifikate sind Zertifikate, die Google Cloud für Sie abruft und verwaltet. Mit dem Zertifikatmanager können Sie die folgenden Arten von von Google verwalteten Zertifikaten erstellen:
    • Globale Zertifikate
      • Von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung
      • Von Google verwaltete Zertifikate mit DNS-Autorisierung
      • Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service)
    • Regionale Zertifikate
      • Regionale von Google verwaltete Zertifikate
      • Regionale von Google verwaltete Zertifikate mit CA Service
  • Selbstverwaltete Zertifikate sind Zertifikate, die Sie selbst erwerben, bereitstellen und verlängern.

Weitere Informationen zu Zertifikaten finden Sie unter Funktionsweise des Zertifikatmanagers.

Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.

Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um ein von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung zu erstellen. Sie können von Google verwaltete Zertifikate nur mit Load-Balancer-Autorisierung am Standort global erstellen.

Wenn Sie mehrere Domainnamen für das Zertifikat angeben möchten, stellen Sie eine durch Kommas getrennte Liste von Zieldomainnamen für das Zertifikat bereit.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.

Terraform

Zum Erstellen eines von Google verwalteten Zertifikats können Sie eine google_certificate_manager_certificate-Ressource mit einem managed-Block verwenden.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAME: Die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.

Einen Überblick über den Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen

So erstellen Sie ein globales von Google verwaltetes Zertifikat mit DNS-Autorisierung:

  1. Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf alle vom Zertifikat abgedeckten Domainnamen verweisen. Informationen dazu finden Sie unter DNS-Autorisierung erstellen.
  2. Konfigurieren Sie in der DNS-Zone der Zieldomain einen gültigen CNAME-Eintrag für die Subdomain zur Überprüfung. Eine Anleitung dazu finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen.
  3. Führen Sie die Schritte in diesem Abschnitt aus.

Sie können sowohl regional- als auch global-von Google verwaltete Zertifikate erstellen. Informationen zum Erstellen eines regional-von Google verwalteten Zertifikats finden Sie unter Regionales von Google verwaltetes Zertifikat erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.
  • AUTHORIZATION_NAMES: eine durch Kommas getrennte Liste der Namen der DNS-Autorisierungen, die Sie für dieses Zertifikat erstellt haben.

Verwenden Sie den folgenden Befehl, um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen. Ein Zertifikat für den Domainnamen mit Platzhaltern deckt alle Subdomains der ersten Ebene einer bestimmten Domain ab.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" --dns-authorizations=AUTHORIZATION_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAME: Die Zieldomain für dieses Zertifikat. Das Präfix mit einem Sternchenpunkt (*.) kennzeichnet ein Platzhalterzertifikat. Der Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.
  • AUTHORIZATION_NAME: der Name der DNS-Autorisierung, die Sie für dieses Zertifikat erstellt haben.

Terraform

Um ein von Google verwaltetes Zertifikat mit DNS-Autorisierung zu erstellen, können Sie eine google_certificate_manager_certificate-Ressource mit dem Attribut dns_authorizations im managed-Block verwenden.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAME: Die Zieldomain für dieses Zertifikat. Das mit einem Sternchen (*) gekennzeichnete Präfix (*.) kennzeichnet ein Platzhalterzertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • AUTHORIZATION_NAME: der Name der DNS-Autorisierungen, die Sie für dieses Zertifikat erstellt haben.

Um Zertifikate projektübergreifend unabhängig zu verwalten, können Sie die DNS-Autorisierung pro Projekt verwenden (Vorschau). Informationen zum Erstellen von Zertifikaten mit DNS-Autorisierung pro Projekt finden Sie unter DNS-Autorisierung erstellen.

Einen Überblick über den Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

Führen Sie die Schritte in diesem Abschnitt aus, um ein von Google verwaltetes Zertifikat zu erstellen, das von einer von Ihnen verwalteten CA Service-Instanz ausgestellt wurde. Sie können sowohl die von Google verwalteten Zertifikate regional als auch global erstellen. Informationen zum Erstellen eines regionalen von Google verwalteten Zertifikats, das von CA Service ausgestellt wird, finden Sie unter Regionales, von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde.

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Rollen für das Google Cloud-Zielprojekt:

Weitere Informationen zu den in diesem Abschnitt verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.

CA Service-Integration in den Zertifikatmanager konfigurieren

Falls noch nicht geschehen, müssen Sie Certificate Manager so konfigurieren, dass er in den CA-Dienst integriert wird, wie in diesem Abschnitt beschrieben. Wenn für den CA-Zielpool eine Richtlinie zur Zertifikatsausstellung gilt, kann die Zertifikatsbereitstellung aus einem der folgenden Gründe fehlschlagen:

  • Die Richtlinie für die Zertifikatsausstellung hat das angeforderte Zertifikat blockiert. In diesem Fall werden Ihnen keine Kosten in Rechnung gestellt, da das Zertifikat nicht ausgestellt wurde.
  • Die Richtlinie hat Änderungen auf das Zertifikat angewendet, die von Certificate Manager nicht unterstützt werden. In diesem Fall werden Ihnen die Kosten trotzdem in Rechnung gestellt, da das Zertifikat ausgestellt wurde, auch wenn es nicht vollständig mit Certificate Manager kompatibel ist.

Informationen zu Problemen im Zusammenhang mit Einschränkungen von Ausstellungsrichtlinien finden Sie auf der Seite Fehlerbehebung.

So konfigurieren Sie die Einbindung von CA Service in Certificate Manager:

  • Gewähren Sie dem Zertifikatmanager die Möglichkeit, Zertifikate vom Zielpool der Zertifizierungsstelle anzufordern:
    1. Verwenden Sie den folgenden Befehl, um ein Dienstkonto für den Zertifikatmanager im Google Cloud-Zielprojekt zu erstellen:
     gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Google Cloud-Zielprojekts.

    Der Befehl gibt den Namen des erstellten Dienstkontos zurück. Beispiel:

    service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

    1. Gewähren Sie dem Dienstkonto des Zertifikatmanagers die Rolle „Certificate Requester“ im Zielpool der Zertifizierungsstelle wie folgt:
     gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Ersetzen Sie Folgendes:

    • CA_POOL: die ID des Zertifizierungsstellenpools
    • REGION: die Google Cloud-Zielregion
    • SERVICE_ACCOUNT: der vollständige Name des Dienstkontos, das Sie in Schritt 1 erstellt haben

  1. Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den Zertifizierungsstellenpool:

     gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]

    Ersetzen Sie Folgendes:

    • ISSUANCE_CONFIG_NAME: Ein eindeutiger Name, der diese Konfigurationsressource für die Zertifikatsausstellung identifiziert.
    • CA_POOL: der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
    • CERTIFICATE_LIFETIME: die Zertifikatslebensdauer in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert beträgt 30 Tage (30D). Diese Einstellung ist optional.
    • ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der Lebensdauer des Zertifikats, zu dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 Prozent. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, sodass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt. Diese Einstellung ist optional.
    • KEY_ALGORITHM: der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Diese Einstellung ist optional.

    Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration für die Zertifikatsausstellung verwalten.

Von Google verwaltetes Zertifikat erstellen, das von Ihrer CA Service-Instanz ausgestellt wurde

Erstellen Sie wie folgt ein von Google verwaltetes Zertifikat, das von Ihrer CA Service-Instanz ausgestellt wurde:

gcloud 

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.
  • ISSUANCE_CONFIG_NAME: Der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Zielpool der Zertifizierungsstelle verweist.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • DOMAIN_NAME: Die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • ISSUANCE_CONFIG_NAME: Der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Zielpool der Zertifizierungsstelle verweist.

Einen Überblick über den Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Regionales, von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

Führen Sie die Schritte in diesem Abschnitt aus, um ein regionales von Google verwaltetes Zertifikat zu erstellen, das von einer von Ihnen verwalteten CA-Dienstinstanz ausgestellt wurde.

CA Service-Integration in den Zertifikatmanager konfigurieren

So konfigurieren Sie den Zertifikatmanager für die Einbindung in den CA Service:

  1. Erstellen Sie ein Dienstkonto für den Zertifikatmanager im Google Cloud-Zielprojekt:

    gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Google Cloud-Zielprojekts.

Der Befehl gibt den Namen der erstellten Dienstidentität zurück, wie im folgenden Beispiel gezeigt:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

  1. Gewähren Sie dem Dienstkonto des Zertifikatmanagers die Rolle des Zertifikatsanforderers im Zielpool der Zertifizierungsstelle so:

    gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester

    Ersetzen Sie Folgendes:

    • CA_POOL: die ID des Zertifizierungsstellenpools.
    • LOCATION: der Google Cloud-Zielstandort. Sie müssen denselben Speicherort wie der Zertifizierungsstellenpool, die Konfigurationsressource für die Zertifikatsausstellung und das verwaltete Zertifikat angeben.
    • SERVICE_ACCOUNT: Der vollständige Name des Dienstkontos, das Sie in Schritt 1 erstellt haben.

  2. Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den Zertifizierungsstellenpool:

    gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \

    Ersetzen Sie Folgendes:

    • ISSUANCE_CONFIG_NAME: der eindeutige Name der Konfigurationsressource für die Zertifikatsausstellung.
    • CA_POOL: der vollständige Ressourcenpfad und der Name des Zertifizierungsstellenpools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
    • LOCATION: der Google Cloud-Zielstandort. Sie müssen denselben Speicherort wie der Zertifizierungsstellenpool, die Konfigurationsressource für die Zertifikatsausstellung und das verwaltete Zertifikat angeben.
    • CERTIFICATE_LIFETIME: die Zertifikatslebensdauer in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert beträgt 30 Tage (30D). Diese Einstellung ist optional.
    • ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der Lebensdauer des Zertifikats, zu dem eine Verlängerung ausgelöst wird. Diese Einstellung ist optional. Die Standardeinstellung ist 66 Prozent. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, sodass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.
    • KEY_ALGORITHM: der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Diese Einstellung ist optional.
    • DESCRIPTION: eine Beschreibung für die Konfigurationsressource der Zertifikatsausstellung. Diese Einstellung ist optional.

Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration für die Zertifikatsausstellung verwalten.

Regionales von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde

Erstellen Sie mithilfe der im vorherigen Schritt erstellten Konfigurationsressource für die Zertifikatsausstellung ein regionales, von Google verwaltetes Zertifikat, das von Ihrem CA-Dienst ausgestellt wurde:

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.
  • ISSUANCE_CONFIG_NAME: Der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Zielpool der Zertifizierungsstelle verweist.
  • LOCATION: der Google Cloud-Zielstandort. Sie müssen denselben Speicherort wie der Zertifizierungsstellenpool, die Konfigurationsressource für die Zertifikatsausstellung und das verwaltete Zertifikat angeben.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
  • DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. example.com oder www.example.com.
  • ISSUANCE_CONFIG_NAME: Der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Zielpool der Zertifizierungsstelle verweist.
  • LOCATION: der Google Cloud-Zielstandort. Sie müssen denselben Speicherort wie der Zertifizierungsstellenpool, die Konfigurationsressource für die Zertifikatsausstellung und das verwaltete Zertifikat angeben.

Einen Überblick über den Bereitstellungsprozess von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Regionales von Google verwaltetes Zertifikat erstellen

So erstellen Sie ein von Google verwaltetes Zertifikat mit DNS-Autorisierung:

  1. Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf alle vom Zertifikat abgedeckten Domainnamen verweisen. Informationen dazu finden Sie unter DNS-Autorisierung erstellen.
  2. Konfigurieren Sie in der DNS-Zone der Zieldomain einen gültigen CNAME-Eintrag für die Subdomain zur Überprüfung. Eine Anleitung dazu finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen.
  3. Führen Sie die Schritte in diesem Abschnitt aus.

Sie können sowohl regional- als auch global-von Google verwaltete Zertifikate erstellen. Informationen zum Erstellen eines von Google verwalteten global-Zertifikats finden Sie unter Von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
  • DOMAIN_NAME: die Zieldomain des Zertifikats. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • AUTHORIZATION_NAME: der Name der DNS-Autorisierung, die Sie für dieses Zertifikat erstellt haben.
  • LOCATION: Der Speicherort, an dem Sie das von Google verwaltete Zertifikat erstellen.

Verwenden Sie den folgenden Befehl, um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen. Ein Zertifikat für einen Platzhalter-Domainnamen deckt alle Subdomains der ersten Ebene einer bestimmten Domain ab.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
  • DOMAIN_NAME: die Zieldomain des Zertifikats. Das mit einem Sternchen (*) gekennzeichnete Präfix (*.) kennzeichnet ein Platzhalterzertifikat. Der Domainname muss ein voll qualifizierter Domainname wie myorg.example.com sein.
  • AUTHORIZATION_NAME: der Name der DNS-Autorisierung, die Sie für dieses Zertifikat erstellt haben.
  • LOCATION: Der Speicherort, an dem Sie das von Google verwaltete Zertifikat erstellen.

Selbstverwaltetes Zertifikat hochladen

Führen Sie die Schritte in diesem Abschnitt aus, um ein selbstverwaltetes Zertifikat hochzuladen. Sie können globale und regionale X.509-TLS-(SSL-)Zertifikate der folgenden Typen hochladen:

  • Zertifikate, die von externen Zertifizierungsstellen (CAs) Ihrer Wahl generiert wurden
  • Zertifikate, die von Zertifizierungsstellen unter Ihrer Kontrolle erstellt wurden
  • Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben

Sie müssen die folgenden PEM-codierten Dateien hochladen:

  • Die Zertifikatsdatei (.crt)
  • Die entsprechende private Schlüsseldatei (.key)

Unter Bereitstellungsübersicht finden Sie die Schritte, die für die Bereitstellung des Zertifikats auf dem Load-Balancer erforderlich sind.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • CERTIFICATE_FILE: Pfad und Dateiname der .crt-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten Schlüsseldatei .key.
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.

Terraform

Zum Hochladen eines selbstverwalteten Zertifikats können Sie eine google_certificate_manager_certificate-Ressource mit dem self_managed-Block verwenden.

API

Laden Sie das Zertifikat hoch. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • CERTIFICATE_NAME: ein eindeutiger Name, der dieses Zertifikat beschreibt.
  • PEM_CERTIFICATE: die Zertifikat-PEM.
  • PEM_KEY: der Schlüssel-PEM.
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.

Zertifikat aktualisieren

Wenn Sie ein vorhandenes Zertifikat aktualisieren möchten, ohne die Zuweisungen zu Domainnamen in der entsprechenden Zertifikatszuordnung zu ändern, führen Sie die Schritte in diesem Abschnitt aus. Die SANs im neuen Zertifikat müssen genau mit den SANs im vorhandenen Zertifikat übereinstimmen.

Bei von Google verwalteten Zertifikaten können Sie nur die Felder description und labels aktualisieren. Zum Aktualisieren eines selbstverwalteten Zertifikats müssen Sie die folgenden PEM-codierten Dateien hochladen:

  • Die Zertifikatsdatei (.crt)
  • Die entsprechende private Schlüsseldatei (.key)

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der Name des Zielzertifikats
  • CERTIFICATE_FILE: Pfad und Dateiname der .crt-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten Schlüsseldatei .key.
  • DESCRIPTION: Ein eindeutiger Beschreibungswert für dieses Zertifikat.
  • LABELS: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.

API

Aktualisieren Sie das Zertifikat. Stellen Sie dazu eine PATCH-Anfrage an die Methode certificates.patch:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.
  • CERTIFICATE_NAME: der Name des Zielzertifikats
  • PEM_CERTIFICATE: die Zertifikat-PEM.
  • PEM_KEY: der Schlüssel-PEM.
  • DESCRIPTION: eine aussagekräftige Beschreibung für dieses Zertifikat.
  • LABEL_KEY: ein auf dieses Zertifikat angewendeter Labelschlüssel.
  • LABEL_VALUE: ein auf dieses Zertifikat angewendeter Labelwert.

Zertifikate auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um vom Zertifikatmanager verwaltete Zertifikate aufzulisten. Sie können beispielsweise die folgenden Abfragen ausführen:

  • Zertifikate nach zugewiesenen Domainnamen auflisten
  • Abgelaufene Zertifikate auflisten

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Zertifikatmanager verwaltet werden, werden diese auf der Seite Zertifikatmanager in der Google Cloud Console nicht aufgelistet. Verwenden Sie in solchen Fällen stattdessen die gcloud CLI, um Ihre Zertifikate aufzulisten.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus. Auf diesem Tab werden alle Zertifikate aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.

Auf dem Tab Klassische Zertifikate werden Zertifikate im ausgewählten Projekt aufgelistet, die direkt über Cloud Load Balancing bereitgestellt wurden. Diese Zertifikate werden nicht vom Zertifikatmanager verwaltet. Eine Anleitung zum Verwalten dieser Zertifikate finden Sie in einem der folgenden Artikel in der Dokumentation zu Cloud Load Balancing:

gcloud 

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • REGION: die Google Cloud-Zielregion. Verwenden Sie - als Wert, um Zertifikate aus allen Regionen aufzulisten. Der Standardwert ist global. Diese Einstellung ist optional.
  • FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
    • Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
    • Zertifikatstatus: --filter='managed.state=FAILED'
    • Zertifikatstyp: --filter='managed:*'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zu Cloud Key Management Service.

  • PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • LIMIT: die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.
  • SORT_BY: eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Stellen Sie dem Feld bei einer absteigenden Sortierreihenfolge das Präfix ~ voran.

API

Listen Sie die Zertifikate mit einer LIST-Anfrage an die Methode certificates.list auf:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • REGION: die Google Cloud-Zielregion. Verwenden Sie - als Wert, um Zertifikate aus allen Regionen aufzulisten.
  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.
  • PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Bei absteigender Sortierreihenfolge muss dem Feld das Präfix ~ vorangestellt werden.

Status eines Zertifikats ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status eines vorhandenen Zertifikats einschließlich Bereitstellungsstatus und anderer detaillierter Informationen anzusehen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Zertifikatmanager verwaltet werden, werden diese auf der Seite Zertifikatmanager in der Google Cloud Console nicht aufgelistet. Verwenden Sie in solchen Fällen stattdessen die gcloud CLI, um Ihre Zertifikate aufzulisten. Wenn Sie jedoch einen direkten Link zur Seite Details des Zertifikats haben, können diese Details auf der Seite Zertifikatmanager in der Google Cloud Console angezeigt werden.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.

  3. Rufen Sie auf dem Tab Zertifikate das Zielzertifikat auf und klicken Sie auf den Namen des Zertifikats.

Auf der Seite Zertifikatdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.

  1. Optional: Klicken Sie auf Entsprechende REST, um die REST-Antwort der Certificate Manager API für dieses Zertifikat anzusehen.

  2. Optional: Wenn dem Zertifikat eine Konfiguration für die Zertifikatsausstellung zugeordnet ist, die Sie aufrufen möchten, klicken Sie im Feld Ausstellungskonfiguration auf den Namen der entsprechenden Konfiguration für die Zertifikatsausstellung.

    In der Google Cloud Console wird die vollständige Konfiguration der Zertifikatsausstellung angezeigt.

gcloud 

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der Name des Zielzertifikats
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.

API

Rufen Sie den Zertifikatsstatus auf. Stellen Sie dazu wie folgt eine GET-Anfrage an die Methode certificates.get:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • REGION: die Google Cloud-Zielregion.
  • CERTIFICATE_NAME: der Name des Zielzertifikats

Zertifikat löschen

Führen Sie die Schritte in diesem Abschnitt aus, um ein Zertifikat aus dem Zertifikatmanager zu löschen. Bevor Sie ein Zertifikat löschen können, müssen Sie es aus allen Zertifikatszuordnungseinträgen entfernen, die darauf verweisen. Andernfalls schlägt der Löschvorgang fehl.

Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate das Kästchen des Zertifikats an, das Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud 

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: der Name des Zielzertifikats
  • REGION: die Google Cloud-Zielregion. Der Standardwert ist global. Diese Einstellung ist optional.

API

Löschen Sie das Zertifikat. Stellen Sie dazu wie folgt eine DELETE-Anfrage an die Methode certificates.delete:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • REGION: die Google Cloud-Zielregion.
  • CERTIFICATE_NAME: der Name des Zielzertifikats

Nächste Schritte