Auf dieser Seite wird beschrieben, wie Sie mit dem Zertifikatmanager TLS-Zertifikate (SSL) zu verwalten und zu verwalten. Der Zertifikatmanager unterstützt die die folgenden Typen von TLS/SSL-Zertifikaten:
- Von Google verwaltete Zertifikate sind Zertifikate, die Google Cloud
für Sie übernimmt und verwaltet. Sie können die folgenden Arten von
Zertifikate mit dem Zertifikatmanager:
- Globale Zertifikate
- Von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung
- Von Google verwaltete Zertifikate mit DNS-Autorisierung
- Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service)
- Regionale Zertifikate
- Regionale von Google verwaltete Zertifikate
- Regionale von Google verwaltete Zertifikate mit CA-Dienst
- Globale Zertifikate
- Selbstverwaltete Zertifikate sind Zertifikate, die Sie erwerben, bereitstellen und sich selbst zu erneuern.
Weitere Informationen zu Zertifikaten finden Sie unter Funktionsweise des Zertifikatmanagers
Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile
Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung erstellen
So erstellen Sie ein von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung:
führen Sie die Schritte in diesem Abschnitt aus. Sie können von Google verwaltete Zertifikate mit Load Balancer-Autorisierung nur am Standort global
erstellen.
Wenn Sie mehrere Domainnamen für das Zertifikat angeben möchten, geben Sie einen durch Kommas getrennten Namen ein Liste der Zieldomainnamen für das Zertifikat.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie ein bestimmtes Zertifikat später leichter identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname sein, z. B.
myorg.example.com
.Wählen Sie als Autorisierungstyp die Option Load-Balancer-Autorisierung aus.
Geben Sie ein Label an, das dem Zertifikat zugeordnet werden soll. Sie können bei Bedarf mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das add_box Label hinzufügen und legen Sie
key
undvalue
für das Label fest.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAMES
: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B.myorg.example.com
.
Terraform
Zum Erstellen eines von Google verwalteten Zertifikats können Sie ein
google_certificate_manager_certificate
-Ressource
mit einem managed
-Block.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
API
So erstellen Sie das Zertifikat:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.
Eine Übersicht über die Bereitstellung von Zertifikaten finden Sie unter Bereitstellungsübersicht.
Von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen
So erstellen Sie ein globales von Google verwaltetes Zertifikat mit DNS-Autorisierung:
- Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf jeden der Domainnamen verweisen, die vom Zertifikat abgedeckt sind. Anweisungen finden Sie unter DNS-Autorisierung erstellen
- Konfigurieren Sie einen gültigen CNAME-Eintrag für die Validierungsunterdomain in der DNS-Zone der Zieldomain. Eine Anleitung dazu finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen.
- Führen Sie die Schritte in diesem Abschnitt aus.
Sie können sowohl von Google verwaltete Zertifikate regional
als auch global
erstellen.
Informationen zum Erstellen eines von Google verwalteten regional
-Zertifikats finden Sie unter
Erstellen Sie ein regionales von Google verwaltetes Zertifikat.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie ein bestimmtes Zertifikat später leichter identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B.
myorg.example.com
.Wählen Sie als Authorization type (Autorisierungstyp) die Option DNS Authorization (DNS-Autorisierung) aus. Wenn die Domainname mit einer DNS-Autorisierung verknüpft ist, wird er automatisch ausgewählt. Wenn dem Domainnamen keine DNS-Autorisierung zugeordnet ist, gehen Sie so vor:
- Klicken Sie auf Fehlende DNS-Autorisierung erstellen, um das Dialogfeld „DNS erstellen“ aufzurufen. Dialogfeld „Autorisierung“.
- Geben Sie im Feld Name der DNS-Autorisierung den Namen der DNS-Autorisierung an.
- Klicken Sie auf DNS-Autorisierung erstellen. Prüfen Sie, ob der DNS-Name mit dem Domainnamen verknüpft wird.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das add_box Label hinzufügen und legen Sie
key
undvalue
für das Label fest.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --dns-authorizations="AUTHORIZATION_NAMES"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAMES
: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.AUTHORIZATION_NAMES
: eine durch Kommas getrennte Liste der Namen der DNS-Autorisierungen, die Sie für dieses Zertifikat erstellt haben.
Verwenden Sie den folgenden Befehl, um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen. A Domainname mit Platzhalter Das Zertifikat deckt alle First-Level-Subdomains einer bestimmten Domain ab.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Das Präfix mit dem Sternchen-Punkt (*.
) kennzeichnet ein Platzhalterzertifikat. Die muss ein vollständig qualifizierter Domainname sein, z. B.myorg.example.com
AUTHORIZATION_NAME
: der Name des DNS Autorisierung, die Sie für dieses Zertifikat erstellt haben.
Terraform
Zum Erstellen eines von Google verwalteten Zertifikats mit DNS-Autorisierung können Sie eine google_certificate_manager_certificate
-Ressource verwenden
mit dem Attribut dns_authorizations
im Block managed
.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
API
So erstellen Sie das Zertifikat:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "dnsAuthorizations": [ "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME", ], } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Das Präfix „Sternchen Punkt“ (*.
) steht für ein Platzhalterzertifikat. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B.myorg.example.com
.AUTHORIZATION_NAME
: der Name des DNS Autorisierungen, die Sie für dieses Zertifikat erstellt haben.
Um Zertifikate für mehrere Projekte unabhängig voneinander zu verwalten, können Sie projektbezogene DNS-Autorisierung. Für Informationen zum Erstellen von Zertifikaten mit projektspezifischer DNS-Autorisierung finden Sie unter DNS-Autorisierung erstellen
Eine Übersicht über den Prozess der Zertifikatsbereitstellung finden Sie unter Bereitstellungsübersicht.
Von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde
So erstellen Sie ein von Google verwaltetes Zertifikat, das von einem Zertifizierungsstellendienst ausgestellt wurde:
führen Sie die Schritte in diesem Abschnitt aus. Sie können
sowohl das von Google verwaltete regional
-Zertifikat als auch das von Google verwaltete global
-Zertifikat. Informationen zum Erstellen eines regionalen, von Google verwalteten Zertifikats, das von CA Service ausgestellt wurde, finden Sie unter Regionales, von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde.
Für diese Aufgabe benötigen Sie die folgenden Rollen für das Ziel-Google Cloud-Projekt:
Weitere Informationen zu den in diesem Abschnitt verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile
Einbindung von CA Service in Certificate Manager konfigurieren
Falls Sie dies noch nicht getan haben, müssen Sie Certificate Manager wie in diesem Abschnitt beschrieben für die Einbindung in den CA-Dienst konfigurieren. Wenn für den Ziel-CA-Pool eine Richtlinie zur Ausstellung von Zertifikaten gilt, kann die Zertifikatsbereitstellung aus einem der folgenden Gründe fehlschlagen:
- Die Richtlinie zur Zertifikatsausstellung hat das angeforderte Zertifikat blockiert. In diesem Fall werden Ihnen keine Kosten in Rechnung gestellt, da das Zertifikat nicht ausgestellt wurde.
- Durch die Richtlinie wurden Änderungen am Zertifikat angewendet, die nicht unterstützt werden von Zertifikatmanager. In diesem Fall werden Ihnen weiterhin Kosten in Rechnung gestellt, das Zertifikat ausgestellt wurde, auch wenn es nicht vollständig kompatibel mit Zertifikatmanager.
Informationen zu Problemen im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie finden Sie in der Fehlerbehebung Seite.
So konfigurieren Sie die CA Service-Integration mit Certificate Manager:
- Aktivieren Sie die CA Service API.
- Erstellen Sie einen CA-Pool.
- Zertifizierungsstelle erstellen und aktivieren Sie ihn im Zertifizierungsstellenpool, den Sie im vorherigen Schritt erstellt haben.
Dem Zertifikatmanager die Berechtigung zum Anfordern von Zertifikaten gewähren aus dem CA-Zielpool:
Verwenden Sie den folgenden Befehl, um einen Zertifikatmanager zu erstellen Dienstkonto im Google Cloud-Zielprojekt:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die ID des Ziels. Google Cloud-ProjektDer Befehl gibt den Namen des erstellten Dienstkontos zurück. Beispiel:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Gewähren Sie dem Zertifikatmanager-Dienstkonto die Rolle "Certificate Requester" im Zertifizierungsstellenpool des Ziels:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location REGION \ --member="serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Ersetzen Sie Folgendes:
CA_POOL
: die ID des CA-ZielpoolsREGION
: die Google Cloud-ZielregionSERVICE_ACCOUNT
: der vollständige Name des Dienstes das Sie in Schritt 1 erstellt haben,
Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Issuance Configs (Ausgabekonfigurationen) auf Create (Erstellen).
Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration der Zertifikatsausstellung ein.
Wählen Sie für Standort die Option Global aus.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausgabekonfiguration ein.
Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen ein. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
Geben Sie unter Prozentsatz der Rotationsfenster den Prozentsatz der Lebensdauer des Zertifikats an, wenn der Verlängerungsprozess beginnt. Informationen zu den gültigen Werten finden Sie unter Prozentsatz für den Lebenszyklus und das Rotationsfenster.
Wählen Sie in der Liste Schlüsselalgorithmus den Algorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.
Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, den Sie dieser Konfiguration für die Zertifikatausstellung zuweisen möchten.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie zum Hinzufügen eines Labels auf
Label hinzufügen und geben Siekey
undvalue
für Ihr Label an.Klicken Sie auf Erstellen.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM]
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME
: ein eindeutiger Name zur Identifizierung in dieser Konfigurationsressource für die Zertifikatsausstellung.CA_POOL
: Der vollständige Ressourcenpfad und der Name des Zertifizierungsstellenpools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME
: die Lebensdauer des Zertifikats in Tage. Gültige Werte sind 21 bis 30 Tage in der Standarddauer Format. Die Standardeinstellung beträgt 30 Tage. (30D
). Diese Einstellung ist optional.ROTATION_WINDOW_PERCENTAGE
: Der Prozentsatz der Lebensdauer des Zertifikats, wenn die Verlängerung des Zertifikats ausgelöst wird. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster. Diese Einstellung ist optional.KEY_ALGORITHM
: der Verschlüsselungsalgorithmus, der verwendet wird, um den privaten Schlüssel generieren. Gültige Werte sindecdsa-p256
undrsa-2048
. Der Standardwert istrsa-2048
. Diese Einstellung ist optional.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration der Zertifikatsausstellung verwalten
Von Ihrer CA Service-Instanz ausgestelltes von Google verwaltetes Zertifikat erstellen
Von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde -Instanz so:
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie ein bestimmtes Zertifikat später leichter identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Privat aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B.
myorg.example.com
.Wählen Sie unter Konfiguration der Zertifikatsausstellung den Namen des Zertifikats aus. Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
Klicken Sie zum Erstellen einer Ausstellungskonfiguration auf Konfiguration der Zertifikatsausstellung hinzufügen, geben Sie die folgenden Details an und klicken Sie auf Erstellen.
- Name: Ein eindeutiger Name für die Konfiguration der Zertifikatsausstellung.
- Beschreibung: Eine Beschreibung für die Ausstellungskonfiguration.
- Lebensdauer: Die Lebensdauer des ausgestellten Zertifikats in Tagen. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
- Rotationsfenster (%): der Prozentsatz der Lebensdauer des Zertifikats, wenn die Verlängerung des Zertifikats ausgelöst wird. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.
- Schlüsselalgorithmus: der Schlüsselalgorithmus, der beim Generieren des privaten Schlüssels verwendet wird.
- CA-Pool: der Name des CA-Pools, der dieser Konfiguration der Zertifikatsausstellung zugewiesen werden soll.
- Label: Labels, die mit der Konfiguration der Zertifikatsausstellung verknüpft werden sollen.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Klicken Sie auf add_boxLabel hinzufügen, um ein Label hinzuzufügen, und geben Sie einen
key
und einenvalue
für das Label an.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config=ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAMES
: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B.myorg.example.com
.ISSUANCE_CONFIG_NAME
: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
API
So erstellen Sie das Zertifikat:
POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME { "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": ["ISSUANCE_CONFIG_NAME"], } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.ISSUANCE_CONFIG_NAME
: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
Eine Übersicht über den Prozess der Zertifikatsbereitstellung finden Sie unter Bereitstellungsübersicht.
Regionales von Google verwaltetes Zertifikat erstellen, das vom CA Service ausgestellt wurde
So erstellen Sie ein regionales, von Google verwaltetes Zertifikat, das von einem unter Ihrer Kontrolle steht, führen Sie die Schritte unter diesem Abschnitt.
Einbindung von CA Service in Certificate Manager konfigurieren
Konfigurieren Sie den Zertifikatmanager für die Integration mit CA Service:
Zertifikatmanager-Dienstkonto im Ziel erstellen Google Cloud-Projekt:
gcloud beta services identity create --service=certificatemanager.googleapis.com \ --project=PROJECT_ID
Ersetzen Sie
PROJECT_ID
durch die ID des Ziels. Google Cloud-ProjektDer Befehl gibt den Namen der erstellten Dienstidentität zurück, wie in den folgendes Beispiel:
service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
Zertifikatmanager-Dienstkonto das Zertifikat gewähren Die Rolle des Anforderers im Zertifizierungsstellenpool des Ziels lautet:
gcloud privateca pools add-iam-policy-binding CA_POOL \ --location LOCATION \ --member "serviceAccount:SERVICE_ACCOUNT" \ --role roles/privateca.certificateRequester
Ersetzen Sie Folgendes:
CA_POOL
: die ID des CA-Zielpools.LOCATION
: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.SERVICE_ACCOUNT
: der vollständige Name des Dienstkontos die Sie in Schritt 1 erstellt haben.
Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Issuance Configs (Ausgabekonfigurationen) auf Create (Erstellen).
Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration der Zertifikatsausstellung ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausstellungskonfiguration ein.
Wählen Sie als Standort die Option Regional aus.
Wählen Sie in der Liste Region die gewünschte Region aus.
Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen ein. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
Geben Sie unter Prozentsatz der Rotationsfenster den Prozentsatz der Lebensdauer des Zertifikats an, wenn der Verlängerungsprozess beginnt. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.
Wählen Sie aus der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.
Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, den Sie dieser Konfiguration für die Zertifikatausstellung zuweisen möchten.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie zum Hinzufügen eines Labels auf
Label hinzufügen und geben Siekey
undvalue
für Ihr Label an.Klicken Sie auf Erstellen.
gcloud
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --location=LOCATION> \ [--lifetime=CERTIFICATE_LIFETIME] \ [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \ [--key-algorithm=KEY_ALGORITHM] \
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME
: der eindeutige Name der Konfigurationsressource für die Zertifikatsausstellung.CA_POOL
: der vollständige Ressourcenpfad und der Name des Zertifizierungsstellenpools Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.LOCATION
: den Ziel-Google Cloud-Speicherort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.CERTIFICATE_LIFETIME
: die Lebensdauer des Zertifikats in Tage. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert ist 30 Tage (30D
). Diese Einstellung ist optional.ROTATION_WINDOW_PERCENTAGE
: Der Prozentsatz der Lebensdauer des Zertifikats zu Beginn der Verlängerung. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.KEY_ALGORITHM
: Der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sindecdsa-p256
undrsa-2048
. Der Standardwert istrsa-2048
. Diese Einstellung ist optional.DESCRIPTION
: eine Beschreibung für die Konfigurationsressource für die Zertifikatsausstellung. Diese Einstellung ist optional.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration der Zertifikatsausstellung verwalten
Regionales von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde
Erstellen Sie ein regionales, von Google verwaltetes Zertifikat, das von Ihrem CA-Dienst, der die Konfigurationsressource für die Zertifikatsausstellung verwendet die im vorherigen Schritt erstellt wurden:
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Regional aus.
Wählen Sie in der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Privat aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B.
myorg.example.com
.Wählen Sie unter Konfiguration der Zertifikatsausstellung den Namen des Zertifikats aus. Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
Klicken Sie zum Erstellen einer Ausstellungskonfiguration auf Konfiguration der Zertifikatsausstellung hinzufügen, geben Sie die folgenden Details an und klicken Sie auf Erstellen.
- Name: Ein eindeutiger Name für die Konfiguration der Zertifikatsausstellung.
- Beschreibung: Eine Beschreibung für die Ausstellungskonfiguration.
- Lebensdauer: Die Lebensdauer des ausgestellten Zertifikats in Tagen. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
- Rotationsfenster (%): Der Prozentsatz der Lebensdauer des Zertifikats, wenn die Verlängerung beginnt. Informationen zu den gültigen Werten finden Sie unter Prozentsatz für den Lebenszyklus und das Rotationsfenster.
- Schlüsselalgorithmus: der Schlüsselalgorithmus, der beim Generieren des privaten Schlüssels verwendet wird.
- CA-Pool: der Name des CA-Pools, der dieser Konfiguration der Zertifikatsausstellung zugewiesen werden soll.
- Label: Labels, die mit der Konfiguration der Zertifikatsausstellung verknüpft werden sollen.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Klicken Sie auf add_boxLabel hinzufügen, um ein Label hinzuzufügen, und geben Sie einen
key
und einenvalue
für das Label an.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud beta certificate-manager certificates create CERTIFICATE_NAME \ --domains="DOMAIN_NAMES" \ --issuance-config="ISSUANCE_CONFIG_NAME" \ --location="LOCATION"
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: Ein eindeutiger Name des Zertifikats.DOMAIN_NAMES
: eine durch Kommas getrennte Liste der Zieldomains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B.myorg.example.com
.ISSUANCE_CONFIG_NAME
: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.LOCATION
: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.
API
So erstellen Sie das Zertifikat:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates? { certificate: { name: "/projects/example-project/locations/LOCATION/certificates/my-cert", "managed": { "domains": ["DOMAIN_NAME"], "issuanceConfig": "ISSUANCE_CONFIG_NAME", }, } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.CERTIFICATE_NAME
: Ein eindeutiger Name des Zertifikats.DOMAIN_NAME
: die Zieldomain für dieses Zertifikat. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B.example.com
,www.example.com
.ISSUANCE_CONFIG_NAME
: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.LOCATION
: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.
Eine Übersicht über die Bereitstellung von Zertifikaten finden Sie unter Bereitstellungsübersicht.
Regionales von Google verwaltetes Zertifikat erstellen
So erstellen Sie ein von Google verwaltetes Zertifikat mit DNS-Autorisierung:
- Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf jede der die durch das Zertifikat abgedeckt sind. Anweisungen finden Sie unter DNS-Autorisierung erstellen
- Konfigurieren Sie einen gültigen CNAME-Eintrag für die Validierungs-Subdomain in der DNS-Zone der Zieldomain Anweisungen finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen
- Führen Sie die Schritte in diesem Abschnitt aus.
Sie können sowohl von Google verwaltete Zertifikate regional
als auch global
erstellen.
Informationen zum Erstellen eines von Google verwalteten global
-Zertifikats finden Sie unter
Erstellen Sie ein von Google verwaltetes Zertifikat mit DNS-Autorisierung.
Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Regional aus.
Wählen Sie in der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B.
myorg.example.com
.Wählen Sie als Authorization type (Autorisierungstyp) die Option DNS Authorization (DNS-Autorisierung) aus. Wenn die Domainname mit einer DNS-Autorisierung verknüpft ist, wird er automatisch ausgewählt. Wenn dem Domainnamen keine DNS-Autorisierung zugeordnet ist, gehen Sie so vor:
- Klicken Sie auf Fehlende DNS-Autorisierung erstellen, um die Dialogfeld Create DNS Authorization (DNS-Autorisierung erstellen).
- Geben Sie im Feld DNS Authorization Name (Name der DNS-Autorisierung) die DNS-Autorisierung an. Namen.
- Klicken Sie auf DNS-Autorisierung erstellen. Prüfen Sie, ob der DNS-Name mit dem Domainnamen verknüpft wird.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das add_box Label hinzufügen und legen Sie
key
undvalue
für das Label fest.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME \ --location=LOCATION
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: Ein eindeutiger Name des Zertifikats.DOMAIN_NAME
: die Zieldomain des Zertifikats. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B.myorg.example.com
AUTHORIZATION_NAME
: der Name der DNS-Autorisierung, die Sie für dieses Zertifikat erstellt haben.LOCATION
: der Standort, an dem Sie die Von Google verwaltetes Zertifikat.
Um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen, verwenden Sie die Methode folgenden Befehl. Platzhalterdomain name (Zertifikat) deckt alle Sub-Domains der ersten Ebene einer bestimmten Domain ab.
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME --location=LOCATION
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: Ein eindeutiger Name des Zertifikats.DOMAIN_NAME
: die Zieldomain des Zertifikats. Das Sternchen-Punktpräfix (*.
) kennzeichnet ein Platzhalterzertifikat. Die muss ein vollständig qualifizierter Domainname sein, z. B.myorg.example.com
AUTHORIZATION_NAME
: der Name der DNS-Autorisierung die Sie für dieses Zertifikat erstellt haben.LOCATION
: der Standort, an dem Sie die Von Google verwaltetes Zertifikat.
Selbstverwaltetes Zertifikat hochladen
Führen Sie die Schritte in diesem Abschnitt aus, um ein selbstverwaltetes Zertifikat hochzuladen. Ich kann globale und regionale X.509 TLS/SSL-Zertifikate der folgenden Typen hochladen:
- Von Drittanbieter-Zertifizierungsstellen (CAs) Ihrer Wahl generierte Zertifikate
- Zertifikate, die von von Ihnen verwalteten Zertifizierungsstellen generiert wurden
- Selbstsignierte Zertifikate, wie in Privaten Schlüssel und Zertifikat erstellen
Du musst die folgenden PEM-codierten Dateien hochladen:
- Die Zertifikatsdatei (
.crt
) - Die entsprechende Datei mit dem privaten Schlüssel (
.key
)
Unter Bereitstellung – Übersicht finden Sie die Schritte, die erforderlich sind, um das Zertifikat über Ihren Load Balancer bereitzustellen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.
Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Mithilfe der Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort eine der folgenden Optionen aus:
- Global: Wählen Sie „Global“ aus, damit das Zertifikat verwendet werden kann.
weltweit. Wenn Sie „Global“ auswählen, wählen Sie im Drop-down-Menü Scope (Umfang) eine der folgenden Optionen aus:
- Standard: Zertifikate mit dem Standardbereich werden von Google-Kernrechenzentren.
- Edge Cache: Zertifikate mit diesem Bereich sind speziell und werden über Rechenzentren bereitgestellt, die nicht zu den Kernrechenzentren von Google gehören.
- Alle Regionen: Zertifikate werden aus allen Regionen bereitgestellt.
- Regional: Wählen Sie „Regional“ aus, damit das Zertifikat verwendet werden kann. in einer bestimmten Region. Wenn Sie „Regional“ auswählen, wählen Sie aus der Liste Region eine Region aus.
- Global: Wählen Sie „Global“ aus, damit das Zertifikat verwendet werden kann.
weltweit. Wenn Sie „Global“ auswählen, wählen Sie im Drop-down-Menü Scope (Umfang) eine der folgenden Optionen aus:
Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Gehen Sie für das Feld Zertifikat eine der folgenden Optionen aus:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie das PEM-Format aus. Zertifikatsdatei.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit
-----BEGIN CERTIFICATE-----
beginnen und mit-----END CERTIFICATE-----
enden.
Führen Sie im Feld Zertifikat für privaten Schlüssel einen der folgenden Schritte aus:
- Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr Der private Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die
private Schlüssel müssen mit
-----BEGIN PRIVATE KEY-----
beginnen und endet mit-----END PRIVATE KEY-----
.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das add_box Label hinzufügen und legen Sie
key
undvalue
für das Label fest.Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate.
gcloud
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ [--location="REGION"]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.CERTIFICATE_FILE
: Pfad und Dateiname von.crt
Zertifikatsdatei.PRIVATE_KEY_FILE
: Pfad und Dateiname von.key
private Schlüsseldatei.REGION
: die Ziel-Google Cloud Region Der Standardwert istglobal
. Diese Einstellung ist optional.
Terraform
Zum Hochladen eines selbstverwalteten Zertifikats können Sie eine google_certificate_manager_certificate
-Ressource mit dem Block self_managed
verwenden.
API
Laden Sie das Zertifikat hoch, indem Sie eine POST
-Anfrage an den
certificates.create
-Methode so:
POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Ziels Google Cloud-ProjektCERTIFICATE_NAME
: ein eindeutiger Name zur Beschreibung Zertifikat.PEM_CERTIFICATE
: das PEM-Zertifikat.PEM_KEY
: den PEM-Schlüssel.REGION
: die Ziel-Google Cloud Region Der Standardwert istglobal
. Diese Einstellung ist optional.
Zertifikat aktualisieren
So aktualisieren Sie ein vorhandenes Zertifikat, ohne seine Zuweisungen zu ändern: Domain-Namen in der entsprechenden Zertifikatszuordnung zu finden, führen Sie die Schritte in dieser . Die SANs im neuen Zertifikat müssen genau mit den SANs im vorhandenen Zertifikat übereinstimmen.
Bei von Google verwalteten Zertifikaten können Sie nur die description
und
labels
-Feldern. Um ein selbstverwaltetes Zertifikat zu aktualisieren, müssen Sie den
folgende PEM-codierte Dateien:
- Zertifikatsdatei (
.crt
) - Die entsprechende Datei mit dem privaten Schlüssel (
.key
)
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager certificates update CERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE" \ --private-key-file="PRIVATE_KEY_FILE" \ --description="DESCRIPTION" \ --update-labels="LABELS" \ [--location="REGION"]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: der Name des Zielzertifikats.CERTIFICATE_FILE
: Pfad und Dateiname von.crt
Zertifikatsdatei.PRIVATE_KEY_FILE
: Pfad und Dateiname von.key
private Schlüsseldatei.DESCRIPTION
: ein eindeutiger Beschreibungswert für dieses Zertifikat.LABELS
: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikatsprogramms.REGION
: die Ziel-Google Cloud-Region. Der Standardwert istglobal
. Diese Einstellung ist optional.
API
Aktualisieren Sie das Zertifikat, indem Sie eine PATCH
-Anfrage an den
certificates.patch
-Methode so:
PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE", pem_private_key: "PEM_KEY", } "description": "DESCRIPTION", "labels": { "LABEL_KEY": "LABEL_VALUE", } }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Ziels Google Cloud-ProjektREGION
: die Ziel-Google Cloud Region Der Standardwert istglobal
. Diese Einstellung ist optional.CERTIFICATE_NAME
: der Name des Zielzertifikats.PEM_CERTIFICATE
: das PEM-Zertifikat.PEM_KEY
: der Schlüssel „PEM“.DESCRIPTION
: Eine aussagekräftige Beschreibung dieses Zertifikats.LABEL_KEY
: Ein Labelschlüssel, der auf dieses Zertifikat angewendet wird.LABEL_VALUE
: ein Labelwert, der auf dieses Zertifikat.
Zertifikate auflisten
Um vom Zertifikatmanager verwaltete Zertifikate aufzulisten, führen Sie die in diesem Abschnitt beschrieben. Sie können beispielsweise die folgenden Abfragen ausführen:
- Zertifikate nach zugewiesenen Domainnamen auflisten
- Abgelaufene Zertifikate auflisten
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Wenn in Ihrem Projekt mehr als 10.000 Zertifikate verwaltet werden des Zertifikatmanagers die Seite Zertifikatmanager in in der Google Cloud Console nicht aufgelistet werden. Verwenden Sie in solchen Fällen die gcloud CLI , um stattdessen Ihre Zertifikate aufzulisten.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus. Dieser Tab listet alle Zertifikate auf, die von Zertifikatmanager im ausgewählten Projekt.
Auf dem Tab Klassische Zertifikate werden Zertifikate im ausgewählten Projekt aufgeführt die direkt über Cloud Load Balancing bereitgestellt wurden. Diese Zertifikate werden nicht vom Zertifikatmanager verwaltet. Für Anleitungen zum Verwalten dieser Zertifikate finden Sie in den Artikel in der Cloud Load Balancing-Dokumentation:
gcloud
gcloud certificate-manager certificates list \ [--location="REGION"] \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Ersetzen Sie Folgendes:
REGION
: die Google Cloud-Zielregion zum Auflisten für Zertifikate aus allen Regionen verwenden Sie-
als Wert. Der Standardwert istglobal
. Diese Einstellung ist optional.FILTER
: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden. Sie können die Ergebnisse beispielsweise nach folgenden Kriterien filtern:- Ablaufzeit:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- SAN-DNS-Namen:
--filter='san_dnsnames:"example.com"'
- Zertifikatstatus:
--filter='managed.state=FAILED'
- Zertifikatstyp:
--filter='managed:*'
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
- Ablaufzeit:
Weitere Beispiele für Filter, die Sie mit dem Zertifikatsmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE
: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT
: Die maximale Anzahl der zurückzugebenden Ergebnisse.SORT_BY
: Eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend; Um die absteigende Sortierreihenfolge zu verwenden, stellen Sie dem Feld~
voran.
API
Um die Zertifikate aufzulisten, stellen Sie eine LIST
-Anfrage an certificates.list
so an:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
REGION
: die Google Cloud-Zielregion zum Auflisten für Zertifikate aus allen Regionen verwenden Sie-
als Wert.PROJECT_ID
: die ID des Google Cloud-Zielprojekts.FILTER
: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.PAGE_SIZE
: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY
: eine durch Kommas getrennte Liste von Feldnamen, nach denen werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld~
voran.
Status eines Zertifikats ansehen
So rufen Sie den Status eines vorhandenen Zertifikats einschließlich des Bereitstellungsstatus auf: und weitere detaillierte Informationen finden Sie in diesem Abschnitt.
Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Wenn Sie in Ihrem Projekt mehr als 10.000 Zertifikate haben, die vom Zertifikatsmanager verwaltet werden, können diese nicht auf der Seite Zertifikatsmanager in der Google Cloud Console aufgeführt werden. Verwenden Sie in solchen Fällen die Methode gcloud CLI, um stattdessen Ihre Zertifikate aufzulisten. Sie können jedoch Wenn Sie einen direkten Link zur Seite Details eines Zertifikats haben, wird das Auf der Seite Zertifikatmanager in der Google Cloud Console werden diese Details.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Gehen Sie auf dem Tab Zertifikate zum Zielzertifikat und auf den Namen des Zertifikats.
Auf der Seite Zertifikatsdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.
Optional: Klicken Sie auf REST-Äquivalent, um die REST-Antwort der Certificate Manager API für dieses Zertifikat aufzurufen.
Optional: Wenn dem Zertifikat eine Konfigurationseinstellung für die Zertifikatsausstellung zugewiesen ist, die Sie aufrufen möchten, klicken Sie im Feld Ausstellungskonfiguration auf den Namen der entsprechenden Konfiguration.
In der Google Cloud Console wird die vollständige Konfiguration des Zertifikats angezeigt. Konfiguration der Ausstellung.
gcloud
gcloud certificate-manager certificates describe CERTIFICATE_NAME \ [--location="REGION"]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: der Name des Zielzertifikats.REGION
: die Ziel-Google Cloud Region Der Standardwert istglobal
. Diese Einstellung ist optional.
API
Rufen Sie den Zertifikatstatus mit einer GET
-Anfrage an den
certificates.get
-Methode so:
GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Ziels Google Cloud-ProjektREGION
: die Google Cloud-Zielregion.CERTIFICATE_NAME
: der Name des Zielzertifikats.
Zertifikat löschen
Um ein Zertifikat aus dem Zertifikatmanager zu löschen, führen Sie die folgenden Schritte aus: in diesem Abschnitt beschrieben. Bevor Sie ein Zertifikat löschen können, müssen Sie es entfernen aus allen Zertifikatzuordnungseinträgen abzurufen, die darauf verweisen. Andernfalls wird die Löschung schlägt fehl.
Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager) auf dem Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate das Kästchen für das Zertifikat an, das die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
gcloud certificate-manager certificates delete CERTIFICATE_NAME \ [--location="REGION"]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
: der Name des Zielzertifikats.REGION
: die Ziel-Google Cloud Region Der Standardwert istglobal
. Diese Einstellung ist optional.
API
Löschen Sie das Zertifikat mit einer DELETE
-Anfrage an certificates.delete
.
so an:
DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.REGION
: die Google Cloud-Zielregion.CERTIFICATE_NAME
: der Name des Zielzertifikats.
Nächste Schritte
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfiguration der Zertifikatsausstellung verwalten