Zertifikate verwalten

Auf dieser Seite wird beschrieben, wie Sie mit Certificate Manager TLS- (SSL-)Zertifikate (Transport Layer Security) erstellen und verwalten.

Weitere Informationen finden Sie unter Unterstützte Zertifikate.

Von Google verwaltetes Zertifikat erstellen

Mit Certificate Manager können Sie von Google verwaltete Zertifikate auf folgende Arten erstellen:

  • Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung (global)
  • Von Google verwaltete Zertifikate mit DNS-Autorisierung (global, regional und regionenübergreifend)
  • Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service) (global, regional und regionenübergreifend)

Load-Balancer-Autorisierung

Mit der Load Balancer-Autorisierung können Sie ein von Google verwaltetes Zertifikat für Ihre Domain erhalten, wenn Traffic vom Load Balancer ausgeliefert wird. Für diese Methode sind keine zusätzlichen DNS-Einträge für die Zertifikatsbereitstellung erforderlich. Sie können Load Balancer-Autorisierungen für neue Umgebungen ohne vorhandenen Traffic verwenden. Informationen dazu, wann Sie die Load Balancer-Autorisierung mit einem von Google verwalteten Zertifikat verwenden sollten, finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.

Sie können von Google verwaltete Zertifikate mit Load Balancer-Autorisierung nur an dem Standort global erstellen. Die vom Load Balancer autorisierten Zertifikate unterstützen keine Platzhalterdomains.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie unter Standort die Option Global aus.

  6. Wählen Sie unter Umfang eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.

    Sie können die Load Balancer-Autorisierung nicht mit dem Standort Regional oder dem Gültigkeitsbereich Alle Regionen verwenden.

  7. Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.

  10. Wählen Sie als Autorisierungstyp die Option Load Balancer-Autorisierung aus.

  11. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates create, um ein globales von Google verwaltetes Zertifikat mit Load Balancer-Autorisierung zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Terraform

Verwenden Sie eine google_certificate_manager_certificate-Ressource.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

So erstellen Sie das Zertifikat:POSTcertificates.create

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

DNS-Autorisierung

Wenn Sie von Google verwaltete Zertifikate verwenden möchten, bevor Ihre Produktionsumgebung bereit ist, können Sie sie mit DNS-Autorisierungen versehen. Informationen dazu, wann Sie die DNS-Autorisierung mit einem von Google verwalteten Zertifikat verwenden sollten, finden Sie unter Arten der Domainautorisierung für von Google verwaltete Zertifikate.

Wenn Sie Zertifikate unabhängig in mehreren Projekten verwalten möchten, können Sie die projektspezifische DNS-Autorisierung verwenden. Informationen zum Erstellen von Zertifikaten mit projektspezifischer DNS-Autorisierung finden Sie unter DNS-Autorisierung erstellen.

Führen Sie die folgenden Schritte aus, bevor Sie das Zertifikat erstellen:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie unter Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Umfang eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.

    Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com. Der Domainname kann auch ein Platzhalter-Domainname sein, z. B. *.example.com.

  10. Wählen Sie unter Autorisierungstyp die Option DNS-Autorisierung aus.

    Auf der Seite werden DNS-Autorisierungen der Domainnamen aufgeführt. Wenn einem Domainnamen keine DNS-Autorisierung zugewiesen ist, gehen Sie so vor, um eine zu erstellen:

    1. Klicken Sie auf Fehlende DNS-Autorisierung erstellen.
    2. Geben Sie im Feld Name der DNS-Autorisierung den Namen der DNS-Autorisierung an. Der Standardtyp der DNS-Autorisierung ist FIXED_RECORD. Wenn Sie Zertifikate unabhängig in mehreren Projekten verwalten möchten, klicken Sie das Kästchen Autorisierung pro Projekt an.
    3. Klicken Sie auf DNS-Autorisierung erstellen.

  11. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Führen Sie den Befehl certificate-manager certificates create aus, um ein von Google verwaltetes Zertifikat mit DNS-Autorisierung zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname wie myorg.example.com oder eine Platzhalterdomain wie *.myorg.example.com sein. Das Präfix „Sternchen Punkt“ (*.) steht für ein Platzhalterzertifikat.
  • AUTHORIZATION_NAMES: eine durch Kommas getrennte Liste der Namen der DNS-Autorisierungen.
  • LOCATION: den Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Terraform

Verwenden Sie eine google_certificate_manager_certificate-Ressource.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

So erstellen Sie das Zertifikat:POSTcertificates. create

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Vom CA-Dienst ausgestellt

Sie können Certificate Manager in CA Service einbinden, um von Google verwaltete Zertifikate auszustellen. Wenn Sie globale, von Google verwaltete Zertifikate ausstellen möchten, verwenden Sie einen regionalen CA-Pool in einer beliebigen Region. Wenn Sie regionale von Google verwaltete Zertifikate ausstellen möchten, verwenden Sie einen CA-Pool in derselben Region wie Ihr Zertifikat.

Bevor Sie das Zertifikat erstellen, konfigurieren Sie die Integration des CA-Dienstes mit Certificate Manager.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie unter Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Umfang eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.

    Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie unter Zertifizierungsstellentyp die Option Privat aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.

  10. Wählen Sie unter Konfiguration für Zertifikatsausstellung auswählen den Namen der Konfigurationsressource für die Zertifikatsausstellung aus, die auf den Ziel-CA-Pool verweist.

  11. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates create, um ein von Google verwaltetes Zertifikat mit Certificate Authority Service zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname wie myorg.example.com oder eine Platzhalterdomain wie *.myorg.example.com sein. Das Präfix „Sternchen Punkt“ (*.) steht für ein Platzhalterzertifikat.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • LOCATION: den Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

API

So erstellen Sie das Zertifikat:POSTcertificates.create

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Selbstverwaltetes Zertifikat hochladen

Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, laden Sie die Zertifikatsdatei (CRT) und die entsprechende private Schlüsseldatei (KEY) hoch. Sie können globale und regionale X.509-TLS-Zertifikate (SSL) der folgenden Typen hochladen:

  • Zertifikate, die von Zertifizierungsstellen (CAs) Ihrer Wahl generiert wurden.
  • Von Ihnen verwaltete Zertifizierungsstellen generierte Zertifikate.
  • Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie unter Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Umfang eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.

    Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie unter Zertifikattyp die Option Selbstverwaltetes Zertifikat erstellen aus.

  8. Gehen Sie für das Feld Zertifikat entweder so vor:

    • Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
    • Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.

  9. Im Feld Zertifikat für privaten Schlüssel haben Sie eine der folgenden Möglichkeiten:

    • Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
    • Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und mit -----END PRIVATE KEY----- enden.

  10. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  11. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates create, um ein selbstverwaltetes Zertifikat zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei.
  • LOCATION: den Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Terraform

Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, können Sie eine google_certificate_manager_certificate-Ressource mit dem Block self_managed verwenden.

API

Laden Sie das Zertifikat hoch, indem Sie eine POST-Anfrage an die Methode certificates.create stellen:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • PEM_CERTIFICATE: das PEM-Zertifikat.
  • PEM_KEY: den PEM-Schlüssel.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.

Zertifikat aktualisieren

Sie können ein vorhandenes Zertifikat aktualisieren, ohne die Zuweisungen zu Domainnamen in der entsprechenden Zertifikatszuordnung zu ändern. Achten Sie beim Aktualisieren eines Zertifikats darauf, dass die SANs im neuen Zertifikat genau mit den SANs im vorhandenen Zertifikat übereinstimmen.

Von Google verwaltete Zertifikate

Bei von Google verwalteten Zertifikaten können Sie nur die Beschreibung und die Labels des Zertifikats aktualisieren.

Console

Sie können ein Zertifikat nicht über die Google Cloud Console aktualisieren. Verwenden Sie stattdessen die Google Cloud CLI.

gcloud

Verwenden Sie den Befehl certificate-manager certificates update, um ein von Google verwaltetes Zertifikat zu aktualisieren:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DESCRIPTION: Eine eindeutige Beschreibung des Zertifikats.
  • LABELS: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.

API

Aktualisieren Sie das Zertifikat, indem Sie eine PATCH-Anfrage an die Methode certificates.patch stellen:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • DESCRIPTION: eine Beschreibung des Zertifikats.
  • LABEL_KEY: Labelschlüssel, der auf das Zertifikat angewendet wird.
  • LABEL_VALUE: ein Labelwert, der auf das Zertifikat angewendet wird.

Selbstverwaltete Zertifikate

Wenn Sie ein selbstverwaltetes Zertifikat aktualisieren möchten, müssen Sie die folgenden PEM-codierten Dateien hochladen:

  • Die CRT-Datei des Zertifikats

  • Die entsprechende Datei mit dem privaten Schlüssel

Console

Sie können ein Zertifikat nicht über die Google Cloud Console aktualisieren. Verwenden Sie stattdessen die Google Cloud CLI.

gcloud

Verwenden Sie den Befehl certificate-manager certificates update, um ein selbstverwaltetes Zertifikat zu aktualisieren:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • CERTIFICATE_FILE: Pfad und Dateiname der CRT-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten KEY-Schlüsseldatei.
  • DESCRIPTION: Ein eindeutiger Beschreibungswert für dieses Zertifikat.
  • LABELS: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.
  • LOCATION: den Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.

API

Aktualisieren Sie das Zertifikat, indem Sie eine PATCH-Anfrage an die Methode certificates.patch stellen:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.
  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • PEM_CERTIFICATE: das PEM-Zertifikat.
  • PEM_KEY: den PEM-Schlüssel.
  • DESCRIPTION: eine aussagekräftige Beschreibung des Zertifikats.
  • LABEL_KEY: Labelschlüssel, der auf das Zertifikat angewendet wird.
  • LABEL_VALUE: ein Labelwert, der auf das Zertifikat angewendet wird.

Zertifikate auflisten

Sie sehen alle Zertifikate Ihres Projekts und deren Details wie Region, Hostnamen, Ablaufdatum und Typ.

Console

Auf der Seite Zertifikate-Manager in der Google Cloud Console können maximal 10.000 Zertifikate angezeigt werden. Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Zertifikatmanager verwaltet werden, verwenden Sie den gcloud-Befehlszeilenbefehl.

So rufen Sie vom Zertifikatmanager bereitgestellte Zertifikate auf:

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Zertifikate.

    Auf diesem Tab werden alle Zertifikate aufgelistet, die im ausgewählten Projekt vom Zertifikatsmanager verwaltet werden.

So rufen Sie Zertifikate auf, die über Cloud Load Balancing bereitgestellt wurden:

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Klassische Zertifikate.

    Klassische Zertifikate werden nicht vom Zertifikatmanager verwaltet. Weitere Informationen zur Verwaltung finden Sie hier:

gcloud

Verwenden Sie den Befehl certificate-manager certificates list, um Zertifikate aufzulisten:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • LOCATION: den Ziel Google Cloud standort. Wenn Sie Zertifikate aus allen Regionen auflisten möchten, verwenden Sie - als Wert. Der Standardwert ist global. Dieses Flag ist optional.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
    • Zertifikatsstatus: --filter='managed.state=FAILED'
    • Zertifikatstyp: --filter='managed:*'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

API

So listen Sie die Zertifikate auf: Senden Sie eine LIST-Anfrage an die certificates.list-Methode:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort. Wenn Sie Zertifikate aus allen Regionen auflisten möchten, verwenden Sie - als Wert.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
    • Zertifikatsstatus: --filter='managed.state=FAILED'
    • Zertifikatstyp: --filter='managed:*'

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Weitere Beispiele für Filter, die Sie mit dem Zertifikatsmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Status eines Zertifikats ansehen

Sie können den Status eines vorhandenen Zertifikats aufrufen, einschließlich des Bereitstellungsstatus und anderer detaillierter Informationen.

Console

Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Certificate Manager verwaltet werden, werden diese nicht auf der Seite Certificate Manager in der Google Cloud Console aufgeführt. Verwenden Sie stattdessen den Befehl „gcloud“. Wenn Sie jedoch einen direkten Link zur Seite Details des Zertifikats haben, können Sie sich die Details in der Google Cloud Console ansehen.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der Seite den Tab Zertifikate aus.

  3. Rufen Sie auf dem Tab Zertifikate das Zielzertifikat auf und klicken Sie dann auf den Namen des Zertifikats.

    Auf der Seite Zertifikatdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.

  4. Optional: Klicken Sie auf REST-Äquivalent, um die REST-Antwort der Certificate Manager API für dieses Zertifikat aufzurufen.

  5. Optional: Wenn dem Zertifikat eine zugehörige Zertifikatsausstellungskonfiguration zugewiesen ist, die Sie aufrufen möchten, klicken Sie im Feld Ausstellungskonfiguration auf den Namen der zugehörigen Ressource für die Zertifikatsausstellungskonfiguration.

    In der Google Cloud Console wird die vollständige Konfiguration der Zertifizierungsausstellung angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates describe, um den Status eines Zertifikats aufzurufen:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • LOCATION: den Ziel Google Cloud standort. Der Standardspeicherort ist global. Dieses Flag ist optional.

API

So rufen Sie den Zertifikatsstatus ab:GETcertificates.get

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • CERTIFICATE_NAME ist der Name des Zertifikats.

Zertifikat löschen

Bevor Sie ein Zertifikat löschen, entfernen Sie es aus allen Zertifikatzuordnungseinträgen, die darauf verweisen. Andernfalls schlägt das Löschen fehl. Weitere Informationen finden Sie unter Eintrag in der Zertifikatzuordnung löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate das Kästchen neben dem Zertifikat an, das Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

Verwenden Sie den Befehl certificate-manager certificates delete, um ein Zertifikat zu löschen:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME ist der Name des Zertifikats.
  • LOCATION: den Ziel Google Cloud standort. Der Standardspeicherort ist global. Dieses Flag ist optional.

API

Löschen Sie das Zertifikat, indem Sie eine DELETE-Anfrage an die Methode certificates.delete stellen:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • CERTIFICATE_NAME ist der Name des Zertifikats.

Nächste Schritte