Diese Seite wurde von der Cloud Translation API übersetzt.

Zertifikate verwalten

Auf dieser Seite wird beschrieben, wie Sie mit dem Zertifikatmanager TLS-Zertifikate (SSL) zu verwalten und zu verwalten. Der Zertifikatmanager unterstützt die die folgenden Typen von TLS/SSL-Zertifikaten:

Von Google verwaltete Zertifikate sind Zertifikate, die Google Cloud für Sie übernimmt und verwaltet. Sie können die folgenden Arten von von Google verwalteten Zertifikate mit dem Zertifikatmanager: <ph type="x-smartling-placeholder">
- Globale Zertifikate
  - Von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung
  - Von Google verwaltete Zertifikate mit DNS-Autorisierung
  - Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service)
- Regionale Zertifikate
  - Regionale von Google verwaltete Zertifikate
  - Regionale von Google verwaltete Zertifikate mit CA-Dienst
Selbstverwaltete Zertifikate sind Zertifikate, die Sie erwerben, bereitstellen und sich selbst zu erneuern.

Weitere Informationen zu Zertifikaten finden Sie unter Funktionsweise des Zertifikatmanagers

Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile

Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung erstellen

So erstellen Sie ein von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung: führen Sie die Schritte in diesem Abschnitt aus. Sie können nur von Google verwaltete Zertifikate mit Load-Balancer-Autorisierung am Standort global.

Wenn Sie mehrere Domainnamen für das Zertifikat angeben möchten, geben Sie einen durch Kommas getrennten Namen ein Liste der Zieldomainnamen für das Zertifikat.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B. myorg.example.com.
Wählen Sie als Autorisierungstyp die Option Load-Balancer-Autorisierung aus.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES"

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAMES: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B. myorg.example.com.

Terraform

Zum Erstellen eines von Google verwalteten Zertifikats können Sie ein google_certificate_manager_certificate-Ressource mit einem managed-Block.

resource "google_certificate_manager_certificate" "default" {
  name        = "prefixname-rootcert-${random_id.default.hex}"
  description = "Google-managed cert"
  managed {
    domains = ["example.me"]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie das Zertifikat, indem Sie eine POST-Anfrage an den certificates.create-Methode so:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
 }
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Zielprojekts.
CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. als myorg.example.com.

Eine Übersicht über die Bereitstellung von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen

So erstellen Sie ein globales von Google verwaltetes Zertifikat mit DNS-Autorisierung:

Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf jede der die durch das Zertifikat abgedeckt sind. Anweisungen finden Sie unter DNS-Autorisierung erstellen
Konfigurieren Sie einen gültigen CNAME-Eintrag für die Validierungs-Subdomain in der DNS-Zone der Zieldomain Anweisungen finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen
Führen Sie die Schritte in diesem Abschnitt aus.

Sie können sowohl von Google verwaltete Zertifikate regional als auch global erstellen. Informationen zum Erstellen eines von Google verwalteten regional-Zertifikats finden Sie unter Erstellen Sie ein regionales von Google verwaltetes Zertifikat.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B. myorg.example.com.
Wählen Sie als Authorization type (Autorisierungstyp) die Option DNS Authorization (DNS-Autorisierung) aus. Wenn die Domainname mit einer DNS-Autorisierung verknüpft ist, wird er automatisch ausgewählt. Wenn dem Domainnamen keine DNS-Autorisierung zugeordnet ist, gehen Sie so vor:
1. Klicken Sie auf Fehlende DNS-Autorisierung erstellen, um das Dialogfeld „DNS erstellen“ aufzurufen. Dialogfeld „Autorisierung“.
2. Geben Sie im Feld DNS Authorization Name (Name der DNS-Autorisierung) den Namen der DNS-Autorisierung an.
3. Klicken Sie auf DNS-Autorisierung erstellen. Prüfen Sie, ob der DNS-Name mit dem Domainnamen verknüpft wird.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --dns-authorizations="AUTHORIZATION_NAMES"

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAMES: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B. myorg.example.com.
AUTHORIZATION_NAMES: eine durch Kommas getrennte Liste von Namen der DNS-Autorisierungen, die Sie für dieses Zertifikat erstellt haben.

Um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen, verwenden Sie die Methode folgenden Befehl. A Domainname mit Platzhalter Das Zertifikat deckt alle First-Level-Subdomains einer bestimmten Domain ab.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
    --dns-authorizations=AUTHORIZATION_NAME

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Das Präfix mit dem Sternchen-Punkt (*.) kennzeichnet ein Platzhalterzertifikat. Die muss ein vollständig qualifizierter Domainname sein, z. B. myorg.example.com
AUTHORIZATION_NAME: der Name des DNS Autorisierung, die Sie für dieses Zertifikat erstellt haben.

Terraform

Zum Erstellen eines von Google verwalteten Zertifikats mit DNS-Autorisierung können Sie eine google_certificate_manager_certificate-Ressource verwenden mit dem Attribut dns_authorizations im Block managed.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie das Zertifikat, indem Sie eine POST-Anfrage an den certificates.create-Methode so:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "dnsAuthorizations": [
   "projects/PROJECT_ID/locations/global/dnsAuthorizations/AUTHORIZATION_NAME",
  ],
 }
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Zielprojekts.
CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Das Sternchen-Punktpräfix (*.) kennzeichnet ein Platzhalterzertifikat. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B. myorg.example.com.
AUTHORIZATION_NAME: der Name des DNS Autorisierungen, die Sie für dieses Zertifikat erstellt haben.

Um Zertifikate für mehrere Projekte unabhängig voneinander zu verwalten, können Sie projektbezogene DNS-Autorisierung (Vorschau) Für Informationen zum Erstellen von Zertifikaten mit projektspezifischer DNS-Autorisierung finden Sie unter DNS-Autorisierung erstellen

Eine Übersicht über den Prozess der Zertifikatsbereitstellung finden Sie unter Bereitstellungsübersicht.

Von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

So erstellen Sie ein von Google verwaltetes Zertifikat, das von einem Zertifizierungsstellendienst ausgestellt wurde: führen Sie die Schritte in diesem Abschnitt aus. Sie können sowohl das von Google verwaltete regional-Zertifikat als auch das von Google verwaltete global-Zertifikat. Weitere Informationen zum Erstellen eines regionalen, von Google verwalteten Zertifikats, das von CA Service, siehe Regionales von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Rollen für das Ziel Google Cloud-Projekt:

Weitere Informationen zu den in diesem Abschnitt verwendeten gcloud CLI-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile

Einbindung von CA Service in Certificate Manager konfigurieren

Sie müssen die Konfiguration vornehmen, falls Sie dies noch nicht getan haben. Certificate Manager zur Einbindung in CA Service wie in diesem Abschnitt beschrieben. Wenn auf dem CA-Zielpool eine Richtlinie zur Zertifikatsausstellung gilt, gilt das Zertifikat Die Bereitstellung kann aus einem der folgenden Gründe fehlschlagen:

Die Richtlinie zur Zertifikatsausstellung hat das angeforderte Zertifikat blockiert. In In diesem Fall werden Ihnen keine Kosten in Rechnung gestellt, da das Zertifikat noch nicht ausgestellt wurde.
Durch die Richtlinie wurden Änderungen am Zertifikat angewendet, die nicht unterstützt werden von Zertifikatmanager. In diesem Fall werden Ihnen weiterhin Kosten in Rechnung gestellt, das Zertifikat ausgestellt wurde, auch wenn es nicht vollständig kompatibel mit Zertifikatmanager.

Informationen zu Problemen im Zusammenhang mit Einschränkungen der Ausstellungsrichtlinie finden Sie in der Fehlerbehebung Seite.

So konfigurieren Sie die CA Service-Integration mit Zertifikatmanager:

Aktivieren Sie die CA Service API.
Erstellen Sie einen CA-Pool.
Zertifizierungsstelle erstellen und aktivieren Sie ihn im Zertifizierungsstellenpool, den Sie im vorherigen Schritt erstellt haben.

Dem Zertifikatmanager die Berechtigung zum Anfordern von Zertifikaten gewähren aus dem CA-Zielpool: <ph type="x-smartling-placeholder">
1. Verwenden Sie den folgenden Befehl, um einen Zertifikatmanager zu erstellen Dienstkonto im Google Cloud-Zielprojekt:
```
 gcloud beta services identity create --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID
 
```
Ersetzen Sie PROJECT_ID durch die ID des Ziels. Google Cloud-Projekt

Der Befehl gibt den Namen des erstellten Dienstkontos zurück. Beispiel:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com
1. Gewähren Sie dem Zertifikatmanager-Dienstkonto die Rolle "Certificate Requester" im Zertifizierungsstellenpool des Ziels:
```
 gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location REGION \
    --member="serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester
 
```
Ersetzen Sie Folgendes:
- CA_POOL: die ID des CA-Zielpools
- REGION: die Google Cloud-Zielregion
- SERVICE_ACCOUNT: der vollständige Name des Dienstes das Sie in Schritt 1 erstellt haben,

Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den CA-Pool:
```
 gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
     --ca-pool=CA_POOL \
     [--lifetime=CERTIFICATE_LIFETIME] \
     [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
     [--key-algorithm=KEY_ALGORITHM]
 
```
Ersetzen Sie Folgendes:
- ISSUANCE_CONFIG_NAME: ein eindeutiger Name zur Identifizierung in dieser Konfigurationsressource für die Zertifikatsausstellung.
- CA_POOL: der vollständige Ressourcenpfad und der Name der Zertifizierungsstelle Pool, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
- CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tage. Gültige Werte sind 21 bis 30 Tage in der Standarddauer Format. Die Standardeinstellung beträgt 30 Tage. (30D). Diese Einstellung ist optional.
- ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der Lebensdauer des Zertifikats, ab der die Verlängerung ausgelöst wird. Der Standardwert ist 66 Prozent. Sie müssen den Prozentsatz des Rotationsfensters im Verhältnis zum Gültigkeit des Zertifikats, sodass die Zertifikatsverlängerung mindestens 7 Tage dauert nach Ausstellung des Zertifikats und mindestens 7 Tage vor der Ausstellung verfällt. Diese Einstellung ist optional.
- KEY_ALGORITHM: der für die Verarbeitung verwendete Verschlüsselungsalgorithmus den privaten Schlüssel generieren. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Diese Einstellung ist optional.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration der Zertifikatsausstellung verwalten

Von Ihrer CA Service-Instanz ausgestelltes von Google verwaltetes Zertifikat erstellen

Von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde -Instanz so:

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Global aus.
Wählen Sie für Umfang die Option Standard aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Privat aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B. myorg.example.com.
Wählen Sie unter Konfiguration der Zertifikatsausstellung den Namen des Zertifikats aus. Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAMES: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B. myorg.example.com.
ISSUANCE_CONFIG_NAME: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.

API

Erstellen Sie das Zertifikat, indem Sie eine POST-Anfrage an den certificates.create-Methode so:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": ["ISSUANCE_CONFIG_NAME"],
 }
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Zielprojekts.
CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. als myorg.example.com.
ISSUANCE_CONFIG_NAME: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.

Eine Übersicht über den Prozess der Zertifikatsbereitstellung finden Sie unter Bereitstellungsübersicht.

Regionales von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

So erstellen Sie ein regionales, von Google verwaltetes Zertifikat, das von einem unter Ihrer Kontrolle steht, führen Sie die Schritte unter diesem Abschnitt.

Einbindung von CA Service in Certificate Manager konfigurieren

Konfigurieren Sie den Zertifikatmanager für die Integration mit CA Service:

Zertifikatmanager-Dienstkonto im Ziel erstellen Google Cloud-Projekt:
```
gcloud beta services identity create
    --service=certificatemanager.googleapis.com \
    --project=PROJECT_ID
```
Ersetzen Sie PROJECT_ID durch die ID des Ziels. Google Cloud-Projekt

Der Befehl gibt den Namen der erstellten Dienstidentität zurück, wie in den folgendes Beispiel:

service-520498234@gcp-sa-certificatemanager.iam.gserviceaccount.com

Zertifikatmanager-Dienstkonto das Zertifikat gewähren Die Rolle des Anforderers im Zertifizierungsstellenpool des Ziels lautet:
```
gcloud privateca pools add-iam-policy-binding CA_POOL \
    --location LOCATION \
    --member "serviceAccount:SERVICE_ACCOUNT" \
    --role roles/privateca.certificateRequester
```
Ersetzen Sie Folgendes:
- CA_POOL: die ID des CA-Zielpools.
- LOCATION: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.
- SERVICE_ACCOUNT: der vollständige Name des Dienstkontos die Sie in Schritt 1 erstellt haben.
Erstellen Sie eine Konfigurationsressource für die Zertifikatsausstellung für den CA-Pool:
```
gcloud beta certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --location=LOCATION> \
    [--lifetime=CERTIFICATE_LIFETIME] \
    [--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE] \
    [--key-algorithm=KEY_ALGORITHM] \
```
Ersetzen Sie Folgendes:
- ISSUANCE_CONFIG_NAME: der eindeutige Name des Zertifikats Konfigurationsressource der Ausstellung.
- CA_POOL: der vollständige Ressourcenpfad und der Name des Zertifizierungsstellenpools die Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
- LOCATION: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.
- CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tage. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert beträgt 30 Tage (30D). Dieses ist optional.
- ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der Lebensdauer des Zertifikats, ab der die Verlängerung ausgelöst wird. Diese Einstellung ist optional. Die Standardeinstellung ist 66 Prozent. Sie müssen die Rotation festlegen in Bezug auf die Lebensdauer des Zertifikats, sodass Die Zertifikatsverlängerung erfolgt frühestens 7 Tage nach und mindestens 7 Tage vor Ablauf der Frist.
- KEY_ALGORITHM: der Verschlüsselungsalgorithmus, der verwendet wird, um den privaten Schlüssel generieren. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Diese Einstellung ist optional.
- DESCRIPTION: eine Beschreibung für das Zertifikat Konfigurationsressource der Ausstellung. Diese Einstellung ist optional.

Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfiguration der Zertifikatsausstellung verwalten

Regionales von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde

Erstellen Sie ein regionales, von Google verwaltetes Zertifikat, das von Ihrem CA-Dienst, der die Konfigurationsressource für die Zertifikatsausstellung verwendet die im vorherigen Schritt erstellt wurden:

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Regional aus.
Wählen Sie in der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Privat aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B. myorg.example.com.
Wählen Sie unter Konfiguration der Zertifikatsausstellung den Namen des Zertifikats aus. Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud beta certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config="ISSUANCE_CONFIG_NAME" \
    --location="LOCATION"

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
DOMAIN_NAMES: eine durch Kommas getrennte Liste des Ziels Domains für dieses Zertifikat. Jeder Domainname muss ein vollständig qualifizierter Domainname, z. B. myorg.example.com.
ISSUANCE_CONFIG_NAME: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
LOCATION: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.

API

Erstellen Sie das Zertifikat, indem Sie eine POST-Anfrage an den certificates.create-Methode so:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?
{
certificate: {
    name: "/projects/example-project/locations/LOCATION/certificates/my-cert",
    "managed": {
        "domains": ["DOMAIN_NAME"],
        "issuanceConfig": "ISSUANCE_CONFIG_NAME",
              },
             }
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Zielprojekts.
CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
DOMAIN_NAME: die Zieldomain für dieses Zertifikat. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B. example.com, www.example.com.
ISSUANCE_CONFIG_NAME: der Name des Zertifikats Konfigurationsressource der Ausstellung, die auf den CA-Zielpool verweist.
LOCATION: der Google Cloud-Zielstandort. Ich muss denselben Standort wie der CA-Pool und die Zertifikatsausstellung angeben Konfigurationsressource und verwaltetes Zertifikat.

Eine Übersicht über die Bereitstellung von Zertifikaten finden Sie unter Bereitstellungsübersicht.

Regionales von Google verwaltetes Zertifikat erstellen

So erstellen Sie ein von Google verwaltetes Zertifikat mit DNS-Autorisierung:

Erstellen Sie die entsprechenden DNS-Autorisierungen, die auf jede der die durch das Zertifikat abgedeckt sind. Anweisungen finden Sie unter DNS-Autorisierung erstellen
Konfigurieren Sie einen gültigen CNAME-Eintrag für die Validierungs-Subdomain in der DNS-Zone der Zieldomain Anweisungen finden Sie unter CNAME-Eintrag zur DNS-Konfiguration hinzufügen
Führen Sie die Schritte in diesem Abschnitt aus.

Sie können sowohl von Google verwaltete Zertifikate regional als auch global erstellen. Informationen zum Erstellen eines von Google verwalteten global-Zertifikats finden Sie unter Erstellen Sie ein von Google verwaltetes Zertifikat mit DNS-Autorisierung.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort die Option Regional aus.
Wählen Sie in der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie als Typ der Zertifizierungsstelle die Option Öffentlich aus.
Geben Sie die Domainnamen für das Zertifikat an. Durch Kommas getrennte Werte eingeben Liste der Zieldomains. Außerdem muss jeder Domainname ein voll qualifizierter Domainname, z. B. myorg.example.com.
Wählen Sie als Authorization type (Autorisierungstyp) die Option DNS Authorization (DNS-Autorisierung) aus. Wenn die Domainname mit einer DNS-Autorisierung verknüpft ist, wird er automatisch ausgewählt. Wenn dem Domainnamen keine DNS-Autorisierung zugeordnet ist, gehen Sie so vor:
1. Klicken Sie auf Fehlende DNS-Autorisierung erstellen, um die Dialogfeld Create DNS Authorization (DNS-Autorisierung erstellen).
2. Geben Sie im Feld DNS Authorization Name (Name der DNS-Autorisierung) die DNS-Autorisierung an. Namen.
3. Klicken Sie auf DNS-Autorisierung erstellen. Prüfen Sie, ob der DNS-Name mit dem Domainnamen verknüpft wird.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate angezeigt wird.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains=DOMAIN_NAME \
   --dns-authorizations=AUTHORIZATION_NAME \
   --location=LOCATION

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
DOMAIN_NAME: die Zieldomain des Zertifikats. Der Domainname muss ein vollständig qualifizierter Domainname sein, z. B. myorg.example.com
AUTHORIZATION_NAME: der Name der DNS-Autorisierung die Sie für dieses Zertifikat erstellt haben.
LOCATION: der Standort, an dem Sie die Von Google verwaltetes Zertifikat.

Um ein von Google verwaltetes Zertifikat mit einem Platzhalter-Domainnamen zu erstellen, verwenden Sie die Methode folgenden Befehl. Platzhalterdomain name (Zertifikat) deckt alle Sub-Domains der ersten Ebene einer bestimmten Domain ab.

gcloud certificate-manager certificates create CERTIFICATE_NAME \
   --domains="*.DOMAIN_NAME,DOMAIN_NAME" \
   --dns-authorizations=AUTHORIZATION_NAME
   --location=LOCATION

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: Ein eindeutiger Name des Zertifikats.
DOMAIN_NAME: die Zieldomain des Zertifikats. Das Sternchen-Punktpräfix (*.) kennzeichnet ein Platzhalterzertifikat. Die muss ein vollständig qualifizierter Domainname sein, z. B. myorg.example.com
AUTHORIZATION_NAME: der Name der DNS-Autorisierung die Sie für dieses Zertifikat erstellt haben.
LOCATION: der Standort, an dem Sie die Von Google verwaltetes Zertifikat.

Selbstverwaltetes Zertifikat hochladen

Führen Sie die Schritte in diesem Abschnitt aus, um ein selbstverwaltetes Zertifikat hochzuladen. Ich kann globale und regionale X.509 TLS/SSL-Zertifikate der folgenden Typen hochladen:

Von Drittanbieter-Zertifizierungsstellen (CAs) Ihrer Wahl generierte Zertifikate
Zertifikate, die von von Ihnen verwalteten Zertifizierungsstellen generiert wurden
Selbstsignierte Zertifikate, wie in Privaten Schlüssel und Zertifikat erstellen

Du musst die folgenden PEM-codierten Dateien hochladen:

Die Zertifikatsdatei (.crt)
Die entsprechende Datei mit dem privaten Schlüssel (.key)

Siehe Bereitstellungsübersicht finden Sie die Schritte, die erforderlich sind, um mit der Bereitstellung des Zertifikats auf dem Load-Balancer zu beginnen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Klicken Sie auf Zertifikat hinzufügen.
Geben Sie einen Namen für das Zertifikat ein.

Dieser Name muss für das Projekt eindeutig sein.
Optional: Geben Sie eine Beschreibung für das Zertifikat ein. Die Mithilfe der Beschreibung können Sie später ein bestimmtes Zertifikat identifizieren.
Wählen Sie für Standort eine der folgenden Optionen aus:
- Global: Wählen Sie „Global“ aus, damit das Zertifikat verwendet werden kann. weltweit. Wenn Sie „Global“ auswählen, können Sie im Drop-down-Menü Umfang wählen Sie eine der folgenden Optionen aus:
  - Standard: Zertifikate mit dem Standardbereich werden von Google-Kernrechenzentren.
  - Edge Cache: Zertifikate mit diesem Bereich sind speziell und werden über Rechenzentren bereitgestellt, die nicht zu den Kernrechenzentren von Google gehören.
  - Alle Regionen: Zertifikate werden aus allen Regionen bereitgestellt.
- Regional: Wählen Sie „Regional“ aus, damit das Zertifikat verwendet werden kann. in einer bestimmten Region. Wenn Sie „Regional“ auswählen, wählen Sie aus der Liste Region eine Region aus.
Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Führen Sie im Feld Zertifikat einen der folgenden Schritte aus:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie das PEM-Format aus. Zertifikatsdatei.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.
Führen Sie im Feld Zertifikat für privaten Schlüssel einen der folgenden Schritte aus:
- Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr Der private Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die private Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und endet mit -----END PRIVATE KEY-----.
Geben Sie ein Label an, das mit dem Zertifikat verknüpft werden soll. Sie können mehrere Labels hinzufügen. Um ein Label hinzuzufügen, klicken Sie auf das Label hinzufügen und legen Sie key und value für das Label fest.
Klicken Sie auf Erstellen. Prüfen Sie, ob das neue Zertifikat in der Liste der Zertifikate.

gcloud

gcloud certificate-manager certificates create  CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="REGION"]

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
CERTIFICATE_FILE: Pfad und Dateiname von .crt Zertifikatsdatei.
PRIVATE_KEY_FILE: Pfad und Dateiname von .key private Schlüsseldatei.
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.

Terraform

Zum Hochladen eines selbstverwalteten Zertifikats können Sie eine google_certificate_manager_certificate-Ressource mit dem Block self_managed verwenden.

API

Laden Sie das Zertifikat hoch, indem Sie eine POST-Anfrage an den certificates.create-Methode so:

POST /v1/projects/PROJECT_ID/locations/[REGION]/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Ziels Google Cloud-Projekt
CERTIFICATE_NAME: ein eindeutiger Name zur Beschreibung Zertifikat.
PEM_CERTIFICATE: das PEM-Zertifikat.
PEM_KEY: der Schlüssel „PEM“.
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.

Zertifikat aktualisieren

So aktualisieren Sie ein vorhandenes Zertifikat, ohne seine Zuweisungen zu ändern: Domain-Namen in der entsprechenden Zertifikatszuordnung zu finden, führen Sie die Schritte in dieser . Die SANs im neuen Zertifikat müssen genau mit den SANs im Vorhandenes Zertifikat.

Bei von Google verwalteten Zertifikaten können Sie nur die description und labels-Feldern. Um ein selbstverwaltetes Zertifikat zu aktualisieren, müssen Sie den folgende PEM-codierte Dateien:

Die Zertifikatsdatei (.crt)
Die entsprechende Datei mit dem privaten Schlüssel (.key)

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="REGION"]

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: der Name des Zielzertifikats.
CERTIFICATE_FILE: Pfad und Dateiname von .crt Zertifikatsdatei.
PRIVATE_KEY_FILE: Pfad und Dateiname von .key private Schlüsseldatei.
DESCRIPTION: ein eindeutiger Beschreibungswert für dieses Zertifikat.
LABELS: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikatsprogramms.
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.

API

Aktualisieren Sie das Zertifikat, indem Sie eine PATCH-Anfrage an den certificates.patch-Methode so:

PATCH /v1/projects/PROJECT_ID/locations/[REGION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Ziels Google Cloud-Projekt
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.
CERTIFICATE_NAME: der Name des Zielzertifikats.
PEM_CERTIFICATE: das PEM-Zertifikat.
PEM_KEY: der Schlüssel „PEM“.
DESCRIPTION: eine aussagekräftige Beschreibung Zertifikat.
LABEL_KEY: Ein Labelschlüssel, der auf dieses Zertifikat angewendet wird.
LABEL_VALUE: ein Labelwert, der auf dieses Zertifikat.

Zertifikate auflisten

Um vom Zertifikatmanager verwaltete Zertifikate aufzulisten, führen Sie die in diesem Abschnitt beschrieben. Sie können beispielsweise die folgenden Abfragen ausführen:

Zertifikate nach zugewiesenen Domainnamen auflisten
Abgelaufene Zertifikate auflisten

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Betrachter
Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus. Dieser Tab listet alle Zertifikate auf, die von Zertifikatmanager im ausgewählten Projekt.

Auf dem Tab Klassische Zertifikate werden Zertifikate im ausgewählten Projekt aufgeführt die direkt über Cloud Load Balancing bereitgestellt wurden. Diese Zertifikate werden nicht vom Zertifikatmanager verwaltet. Für Anleitungen zum Verwalten dieser Zertifikate finden Sie in den Artikel in der Cloud Load Balancing-Dokumentation:

gcloud

gcloud certificate-manager certificates list \
    [--location="REGION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

REGION: die Google Cloud-Zielregion zum Auflisten für Zertifikate aus allen Regionen verwenden Sie - als Wert. Standardeinstellung ist global. Diese Einstellung ist optional.
FILTER: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien: <ph type="x-smartling-placeholder">
- Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
- SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
- Zertifikatstatus: --filter='managed.state=FAILED'
- Zertifikatstyp: --filter='managed:*'
- Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

Weitere Filterbeispiele für Zertifikatmanager, siehe Liste sortieren und filtern Ergebnisse in der Dokumentation zum Cloud Key Management Service

PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
LIMIT: Die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.
SORT_BY: eine durch Kommas getrennte Liste von name-Feldern nach nach dem die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend; Um die absteigende Sortierreihenfolge zu verwenden, stellen Sie dem Feld ~ voran.

API

Um die Zertifikate aufzulisten, stellen Sie eine LIST-Anfrage an certificates.list so an:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

REGION: die Google Cloud-Zielregion zum Auflisten für Zertifikate aus allen Regionen verwenden Sie - als Wert.
PROJECT_ID: die ID des Google Cloud-Zielprojekts.
FILTER: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.
PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem Feld das Präfix ~ voran.

Status eines Zertifikats ansehen

So rufen Sie den Status eines vorhandenen Zertifikats einschließlich des Bereitstellungsstatus auf: und weitere detaillierte Informationen finden Sie in diesem Abschnitt.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

Zertifikatmanager-Betrachter
Zertifikatmanager-Bearbeiter
Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Wenn in Ihrem Projekt mehr als 10.000 Zertifikate verwaltet werden des Zertifikatmanagers die Seite Zertifikatmanager in in der Google Cloud Console nicht aufgelistet werden. Verwenden Sie in solchen Fällen die Methode gcloud CLI, um stattdessen Ihre Zertifikate aufzulisten. Sie können jedoch Wenn Sie einen direkten Link zur Seite Details eines Zertifikats haben, wird das Auf der Seite Zertifikatmanager in der Google Cloud Console werden diese Details.

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.
Gehen Sie auf dem Tab Zertifikate zum Zielzertifikat und auf den Namen des Zertifikats.

Auf der Seite Zertifikatdetails werden detaillierte Informationen zum ausgewähltes Zertifikat.

Optional: So rufen Sie die REST-Antwort der Certificate Manager API auf Klicken Sie für dieses Zertifikat auf Equivalent REST (Entsprechende REST).
Optional: Wenn dem Zertifikat eine Zertifikatsausstellung zugeordnet ist die Sie ansehen möchten, wählen Sie im Feld Issuance config (Ausgabekonfiguration) die folgenden Schritte aus: Klicken Sie auf den Namen der zugehörigen Konfiguration für die Zertifikatsausstellung.

In der Google Cloud Console wird die vollständige Konfiguration des Zertifikats angezeigt. Konfiguration der Ausstellung.

gcloud

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="REGION"]

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: der Name des Zielzertifikats.
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.

API

Rufen Sie den Zertifikatstatus mit einer GET-Anfrage an den certificates.get-Methode so:

GET /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Ziels Google Cloud-Projekt
REGION: die Google Cloud-Zielregion.
CERTIFICATE_NAME: der Name des Zielzertifikats.

Zertifikat löschen

Um ein Zertifikat aus dem Zertifikatmanager zu löschen, führen Sie die folgenden Schritte aus: in diesem Abschnitt beschrieben. Bevor Sie ein Zertifikat löschen können, müssen Sie es entfernen aus allen Zertifikatzuordnungseinträgen abzurufen, die darauf verweisen. Andernfalls wird die Löschung schlägt fehl.

Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager) auf dem Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Klicken Sie auf dem Tab Zertifikate das Kästchen für das Zertifikat an, das die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
   [--location="REGION"]

Ersetzen Sie Folgendes:

CERTIFICATE_NAME: der Name des Zielzertifikats.
REGION: die Ziel-Google Cloud Region Der Standardwert ist global. Diese Einstellung ist optional.

API

Löschen Sie das Zertifikat mit einer DELETE-Anfrage an certificates.delete. so an:

DELETE /v1/projects/PROJECT_ID/locations/REGION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: die ID des Google Cloud-Zielprojekts.
REGION: die Google Cloud-Zielregion.
CERTIFICATE_NAME: der Name des Zielzertifikats.

Zertifikate verwalten

Von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung erstellen

Console

gcloud

Terraform

API

Von Google verwaltetes Zertifikat mit DNS-Autorisierung erstellen

Console

gcloud

Terraform

API

Von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

Einbindung von CA Service in Certificate Manager konfigurieren

Von Ihrer CA Service-Instanz ausgestelltes von Google verwaltetes Zertifikat erstellen

Console

gcloud

API

Regionales von Google verwaltetes Zertifikat erstellen, das von CA Service ausgestellt wurde

Einbindung von CA Service in Certificate Manager konfigurieren

Regionales von Google verwaltetes Zertifikat erstellen, das von Ihrem Zertifizierungsstellendienst ausgestellt wurde

Console

gcloud

API

Regionales von Google verwaltetes Zertifikat erstellen

Console

gcloud

Selbstverwaltetes Zertifikat hochladen

Console

gcloud

Terraform

API

Zertifikat aktualisieren

gcloud

API

Zertifikate auflisten

Console

gcloud

API

Status eines Zertifikats ansehen

Console

gcloud

API

Zertifikat löschen

Console

gcloud

API

Nächste Schritte