Auf dieser Seite wird beschrieben, wie Sie mit Certificate Manager TLS- (SSL-)Zertifikate (Transport Layer Security) erstellen und verwalten.
Weitere Informationen finden Sie unter Unterstützte Zertifikate.
Von Google verwaltetes Zertifikat erstellen
Mit Certificate Manager können Sie von Google verwaltete Zertifikate auf folgende Arten erstellen:
- Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung (global)
- Von Google verwaltete Zertifikate mit DNS-Autorisierung (global, regional und regionenübergreifend)
- Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service) (global, regional und regionenübergreifend)
Load-Balancer-Autorisierung
Mit der Load Balancer-Autorisierung können Sie ein von Google verwaltetes Zertifikat für Ihre Domain erhalten, wenn Traffic vom Load Balancer ausgeliefert wird. Für diese Methode sind keine zusätzlichen DNS-Einträge für die Zertifikatsbereitstellung erforderlich. Sie können Load Balancer-Autorisierungen für neue Umgebungen ohne vorhandenen Traffic verwenden. Informationen dazu, wann Sie die Load Balancer-Autorisierung mit einem von Google verwalteten Zertifikat verwenden sollten, finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.
Sie können von Google verwaltete Zertifikate mit Load Balancer-Autorisierung nur an dem Standort global
erstellen. Die vom Load Balancer autorisierten Zertifikate unterstützen keine Platzhalterdomains.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Global aus.
Wählen Sie unter Umfang eine der folgenden Optionen aus:
- Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
- Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.
Sie können die Load Balancer-Autorisierung nicht mit dem Standort Regional oder dem Gültigkeitsbereich Alle Regionen verwenden.
Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.
Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.
myorg.example.com
.Wählen Sie als Autorisierungstyp die Option Load Balancer-Autorisierung aus.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf
Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
Verwenden Sie den Befehl certificate-manager certificates create
, um ein globales von Google verwaltetes Zertifikat mit Load Balancer-Autorisierung zu erstellen:
gcloud certificate-manager certificates createCERTIFICATE_NAME \ --domains="DOMAIN_NAMES " \ [--scope=SCOPE ]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAMES
: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Verwenden Sie eine google_certificate_manager_certificate
-Ressource.
Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.
So erstellen Sie das Zertifikat:POST
certificates.create
POST /v1/projects/PROJECT_ID /locations/global/certificates?certificate_id=CERTIFICATE_NAME " { "managed": { "domains": ["DOMAIN_NAME "], "scope": "SCOPE " //optional } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAMES
: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
DNS-Autorisierung
Wenn Sie von Google verwaltete Zertifikate verwenden möchten, bevor Ihre Produktionsumgebung bereit ist, können Sie sie mit DNS-Autorisierungen versehen. Informationen dazu, wann Sie die DNS-Autorisierung mit einem von Google verwalteten Zertifikat verwenden sollten, finden Sie unter Arten der Domainautorisierung für von Google verwaltete Zertifikate.
Wenn Sie Zertifikate unabhängig in mehreren Projekten verwalten möchten, können Sie die projektspezifische DNS-Autorisierung verwenden. Informationen zum Erstellen von Zertifikaten mit projektspezifischer DNS-Autorisierung finden Sie unter DNS-Autorisierung erstellen.
Führen Sie die folgenden Schritte aus, bevor Sie das Zertifikat erstellen:
- Erstellen Sie für jeden der vom Zertifikat abgedeckten Domainnamen eine DNS-Autorisierung.
- Fügen Sie Ihrer DNS-Konfiguration den CNAME-Eintrag für die Validierungsunterdomain in der DNS-Zone der Zieldomain hinzu.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Global oder Regional aus.
Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.
Wählen Sie unter Umfang eine der folgenden Optionen aus:
- Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
- Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
- Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.
Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.
Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.
Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.
myorg.example.com
. Der Domainname kann auch ein Platzhalter-Domainname sein, z. B.*.example.com
.Wählen Sie unter Autorisierungstyp die Option DNS-Autorisierung aus.
Auf der Seite werden DNS-Autorisierungen der Domainnamen aufgeführt. Wenn einem Domainnamen keine DNS-Autorisierung zugewiesen ist, gehen Sie so vor, um eine zu erstellen:
- Klicken Sie auf Fehlende DNS-Autorisierung erstellen.
- Geben Sie im Feld Name der DNS-Autorisierung den Namen der DNS-Autorisierung an.
Der Standardtyp der DNS-Autorisierung ist
FIXED_RECORD
. Wenn Sie Zertifikate unabhängig in mehreren Projekten verwalten möchten, klicken Sie das Kästchen Autorisierung pro Projekt an. - Klicken Sie auf DNS-Autorisierung erstellen.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf
Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
Führen Sie den Befehl certificate-manager certificates create
aus, um ein von Google verwaltetes Zertifikat mit DNS-Autorisierung zu erstellen:
gcloud certificate-manager certificates createCERTIFICATE_NAME \ --domains="DOMAIN_NAME , *.DOMAIN_NAME " \ --dns-authorizations="AUTHORIZATION_NAMES " \ [--location=LOCATION ] \ [--scope=SCOPE ]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAME
: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname wiemyorg.example.com
oder eine Platzhalterdomain wie*.myorg.example.com
sein. Das Präfix „Sternchen Punkt“ (*.) steht für ein Platzhalterzertifikat.AUTHORIZATION_NAMES
: eine durch Kommas getrennte Liste der Namen der DNS-Autorisierungen.LOCATION
: den Ziel Google Cloud standort. Der Standardwert istglobal
.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Verwenden Sie eine google_certificate_manager_certificate
-Ressource.
So erstellen Sie das Zertifikat:POST
certificates.
create
POST /v1/projects/PROJECT_ID /locations/LOCATION /certificates?certificate_id=CERTIFICATE_NAME " { "managed": { "domains": ["DOMAIN_NAME "], "issuanceConfig": "ISSUANCE_CONFIG_NAME ", "scope": "SCOPE " //optional } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort.CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAME
: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.ISSUANCE_CONFIG_NAME
: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Vom CA-Dienst ausgestellt
Sie können Certificate Manager in CA Service einbinden, um von Google verwaltete Zertifikate auszustellen. Wenn Sie globale, von Google verwaltete Zertifikate ausstellen möchten, verwenden Sie einen regionalen CA-Pool in einer beliebigen Region. Wenn Sie regionale von Google verwaltete Zertifikate ausstellen möchten, verwenden Sie einen CA-Pool in derselben Region wie Ihr Zertifikat.
Bevor Sie das Zertifikat erstellen, konfigurieren Sie die Integration des CA-Dienstes mit Certificate Manager.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
) - CA Service-Administrator (
roles/privateca.admin
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Global oder Regional aus.
Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.
Wählen Sie unter Umfang eine der folgenden Optionen aus:
- Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
- Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
- Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.
Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.
Wählen Sie unter Zertifikattyp die Option Von Google verwaltetes Zertifikat erstellen aus.
Wählen Sie unter Zertifizierungsstellentyp die Option Privat aus.
Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B.
myorg.example.com
.Wählen Sie unter Konfiguration für Zertifikatsausstellung auswählen den Namen der Konfigurationsressource für die Zertifikatsausstellung aus, die auf den Ziel-CA-Pool verweist.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf
Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
Verwenden Sie den Befehl certificate-manager certificates create
, um ein von Google verwaltetes Zertifikat mit Certificate Authority Service zu erstellen:
gcloud certificate-manager certificates createCERTIFICATE_NAME \ --domains="DOMAIN_NAMES " \ --issuance-config=ISSUANCE_CONFIG_NAME \ [--location="LOCATION "] \ [--scope=SCOPE ]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAME
: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname wiemyorg.example.com
oder eine Platzhalterdomain wie*.myorg.example.com
sein. Das Präfix „Sternchen Punkt“ (*.) steht für ein Platzhalterzertifikat.ISSUANCE_CONFIG_NAME
: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.LOCATION
: den Ziel Google Cloud standort. Der Standardwert istglobal
.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
So erstellen Sie das Zertifikat:POST
certificates.create
POST /v1/projects/PROJECT_ID /locations/LOCATION /certificates?certificate_id=CERTIFICATE_NAME " { "managed": { "domains": ["DOMAIN_NAME "], "issuanceConfig": "ISSUANCE_CONFIG_NAME ", "scope": "SCOPE " //optional } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort.CERTIFICATE_NAME
ist der Name des Zertifikats.DOMAIN_NAME
: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B.myorg.example.com
.ISSUANCE_CONFIG_NAME
: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Selbstverwaltetes Zertifikat hochladen
Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, laden Sie die Zertifikatsdatei (CRT) und die entsprechende private Schlüsseldatei (KEY) hoch. Sie können globale und regionale X.509-TLS-Zertifikate (SSL) der folgenden Typen hochladen:
- Zertifikate, die von Zertifizierungsstellen (CAs) Ihrer Wahl generiert wurden.
- Von Ihnen verwaltete Zertifizierungsstellen generierte Zertifikate.
- Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.
Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.
Wählen Sie unter Standort die Option Global oder Regional aus.
Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.
Wählen Sie unter Umfang eine der folgenden Optionen aus:
- Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
- Alle Regionen: Wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
- Edge-Cache: Wenn du das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchtest.
Das Feld Umfang ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.
Wählen Sie unter Zertifikattyp die Option Selbstverwaltetes Zertifikat erstellen aus.
Gehen Sie für das Feld Zertifikat entweder so vor:
- Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
- Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit
-----BEGIN CERTIFICATE-----
beginnen und mit-----END CERTIFICATE-----
enden.
Im Feld Zertifikat für privaten Schlüssel haben Sie eine der folgenden Möglichkeiten:
- Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
- Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit
-----BEGIN PRIVATE KEY-----
beginnen und mit-----END PRIVATE KEY-----
enden.
Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf
Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.Klicken Sie auf Erstellen.
Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.
Verwenden Sie den Befehl certificate-manager certificates create
, um ein selbstverwaltetes Zertifikat zu erstellen:
gcloud certificate-manager certificates createCERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE " \ --private-key-file="PRIVATE_KEY_FILE " \ [--location="LOCATION "] \ [--scope=SCOPE ]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.CERTIFICATE_FILE
: Pfad und Dateiname der CRT-Zertifikatsdatei.PRIVATE_KEY_FILE
: Pfad und Dateiname der privaten KEY-Schlüsseldatei.LOCATION
: den Ziel Google Cloud standort. Der Standardwert istglobal
.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, können Sie eine google_certificate_manager_certificate
-Ressource mit dem Block self_managed
verwenden.
Laden Sie das Zertifikat hoch, indem Sie eine POST
-Anfrage an die Methode certificates.create
stellen:
POST /v1/projects/PROJECT_ID /locations/LOCATION /certificates?certificate_id=CERTIFICATE_NAME { self_managed: { pem_certificate: "PEM_CERTIFICATE ", pem_private_key: "PEM_KEY ", scope:SCOPE } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort.CERTIFICATE_NAME
ist der Name des Zertifikats.PEM_CERTIFICATE
: das PEM-Zertifikat.PEM_KEY
: den PEM-Schlüssel.SCOPE
: Geben Sie eine der folgenden Optionen ein:default
: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.all-regions
: Wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.edge-cache
: Wenn Sie das Zertifikat mit Media CDN verwenden und im Zertifikat mehrere Domains angeben möchten.
Zertifikat aktualisieren
Sie können ein vorhandenes Zertifikat aktualisieren, ohne die Zuweisungen zu Domainnamen in der entsprechenden Zertifikatszuordnung zu ändern. Achten Sie beim Aktualisieren eines Zertifikats darauf, dass die SANs im neuen Zertifikat genau mit den SANs im vorhandenen Zertifikat übereinstimmen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Von Google verwaltete Zertifikate
Bei von Google verwalteten Zertifikaten können Sie nur die Beschreibung und die Labels des Zertifikats aktualisieren.
Sie können ein Zertifikat nicht über die Google Cloud Console aktualisieren. Verwenden Sie stattdessen die Google Cloud CLI.
Verwenden Sie den Befehl certificate-manager certificates update
, um ein von Google verwaltetes Zertifikat zu aktualisieren:
gcloud certificate-manager certificates updateCERTIFICATE_NAME \ [--description="DESCRIPTION "] \ [--update-labels="LABELS "]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.DESCRIPTION
: Eine eindeutige Beschreibung des Zertifikats.LABELS
: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.
Aktualisieren Sie das Zertifikat, indem Sie eine PATCH
-Anfrage an die Methode certificates.patch
stellen:
PATCH /v1/projects/PROJECT_ID /certificates/CERTIFICATE_NAME ?updateMask=self_managed,labels,description { "description": "DESCRIPTION ", "labels": { "LABEL_KEY ": "LABEL_VALUE ", } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.CERTIFICATE_NAME
ist der Name des Zertifikats.DESCRIPTION
: eine Beschreibung des Zertifikats.LABEL_KEY
: Labelschlüssel, der auf das Zertifikat angewendet wird.LABEL_VALUE
: ein Labelwert, der auf das Zertifikat angewendet wird.
Selbstverwaltete Zertifikate
Wenn Sie ein selbstverwaltetes Zertifikat aktualisieren möchten, müssen Sie die folgenden PEM-codierten Dateien hochladen:
- Die CRT-Datei des Zertifikats
Die entsprechende Datei mit dem privaten Schlüssel
Sie können ein Zertifikat nicht über die Google Cloud Console aktualisieren. Verwenden Sie stattdessen die Google Cloud CLI.
Verwenden Sie den Befehl certificate-manager
certificates update
, um ein selbstverwaltetes Zertifikat zu aktualisieren:
gcloud certificate-manager certificates updateCERTIFICATE_NAME \ --certificate-file="CERTIFICATE_FILE " \ --private-key-file="PRIVATE_KEY_FILE " \ --description="DESCRIPTION " \ --update-labels="LABELS " \ [--location="LOCATION "]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.CERTIFICATE_FILE
: Pfad und Dateiname der CRT-Zertifikatsdatei.PRIVATE_KEY_FILE
: Pfad und Dateiname der privaten KEY-Schlüsseldatei.DESCRIPTION
: Ein eindeutiger Beschreibungswert für dieses Zertifikat.LABELS
: eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.LOCATION
: den Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.
Aktualisieren Sie das Zertifikat, indem Sie eine PATCH
-Anfrage an die Methode certificates.patch
stellen:
PATCH /v1/projects/PROJECT_ID /locations/[LOCATION ]/certificates/CERTIFICATE_NAME ?updateMask=self_managed,labels,description { self_managed: { // Self-managed certificates only pem_certificate: "PEM_CERTIFICATE ", pem_private_key: "PEM_KEY ", } "description": "DESCRIPTION ", "labels": { "LABEL_KEY ": "LABEL_VALUE ", } }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.CERTIFICATE_NAME
ist der Name des Zertifikats.PEM_CERTIFICATE
: das PEM-Zertifikat.PEM_KEY
: den PEM-Schlüssel.DESCRIPTION
: eine aussagekräftige Beschreibung des Zertifikats.LABEL_KEY
: Labelschlüssel, der auf das Zertifikat angewendet wird.LABEL_VALUE
: ein Labelwert, der auf das Zertifikat angewendet wird.
Zertifikate auflisten
Sie sehen alle Zertifikate Ihres Projekts und deren Details wie Region, Hostnamen, Ablaufdatum und Typ.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
) - Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Auf der Seite Zertifikate-Manager in der Google Cloud Console können maximal 10.000 Zertifikate angezeigt werden. Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Zertifikatmanager verwaltet werden, verwenden Sie den gcloud-Befehlszeilenbefehl.
So rufen Sie vom Zertifikatmanager bereitgestellte Zertifikate auf:
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Zertifikate.
Auf diesem Tab werden alle Zertifikate aufgelistet, die im ausgewählten Projekt vom Zertifikatsmanager verwaltet werden.
So rufen Sie Zertifikate auf, die über Cloud Load Balancing bereitgestellt wurden:
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Klassische Zertifikate.
Klassische Zertifikate werden nicht vom Zertifikatmanager verwaltet. Weitere Informationen zur Verwaltung finden Sie hier:
Verwenden Sie den Befehl certificate-manager certificates list
, um Zertifikate aufzulisten:
gcloud certificate-manager certificates list \ [--location="LOCATION "] \ --filter="FILTER " \ --page-size="PAGE_SIZE " \ --limit="LIMIT " \ --sort-by="SORT_BY "
Ersetzen Sie Folgendes:
LOCATION
: den Ziel Google Cloud standort. Wenn Sie Zertifikate aus allen Regionen auflisten möchten, verwenden Sie-
als Wert. Der Standardwert istglobal
. Dieses Flag ist optional.FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
- Ablaufzeit:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- SAN-DNS-Namen:
--filter='san_dnsnames:"example.com"'
- Zertifikatsstatus:
--filter='managed.state=FAILED'
- Zertifikatstyp:
--filter='managed:*'
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
- Ablaufzeit:
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.LIMIT
: Die maximale Anzahl der zurückzugebenden Ergebnisse.SORT_BY
: Eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.
So listen Sie die Zertifikate auf: Senden Sie eine LIST
-Anfrage an die certificates.list
-Methode:
GET /v1/projects/PROJECT_ID /locations/LOCATION /certificates?filter=FILTER &pageSize=PAGE_SIZE &sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort. Wenn Sie Zertifikate aus allen Regionen auflisten möchten, verwenden Sie-
als Wert.FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
- Ablaufzeit:
--filter='expire_time >= "2021-09-01T00:00:00Z"'
- SAN-DNS-Namen:
--filter='san_dnsnames:"example.com"'
- Zertifikatsstatus:
--filter='managed.state=FAILED'
- Zertifikatstyp:
--filter='managed:*'
Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit dem Zertifikatsmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
- Ablaufzeit:
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.SORT_BY
: Eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.
Status eines Zertifikats ansehen
Sie können den Status eines vorhandenen Zertifikats aufrufen, einschließlich des Bereitstellungsstatus und anderer detaillierter Informationen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
) - Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Certificate Manager verwaltet werden, werden diese nicht auf der Seite Certificate Manager in der Google Cloud Console aufgeführt. Verwenden Sie stattdessen den Befehl „gcloud“. Wenn Sie jedoch einen direkten Link zur Seite Details des Zertifikats haben, können Sie sich die Details in der Google Cloud Console ansehen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der Seite den Tab Zertifikate aus.
Rufen Sie auf dem Tab Zertifikate das Zielzertifikat auf und klicken Sie dann auf den Namen des Zertifikats.
Auf der Seite Zertifikatdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.
Optional: Klicken Sie auf REST-Äquivalent, um die REST-Antwort der Certificate Manager API für dieses Zertifikat aufzurufen.
Optional: Wenn dem Zertifikat eine zugehörige Zertifikatsausstellungskonfiguration zugewiesen ist, die Sie aufrufen möchten, klicken Sie im Feld Ausstellungskonfiguration auf den Namen der zugehörigen Ressource für die Zertifikatsausstellungskonfiguration.
In der Google Cloud Console wird die vollständige Konfiguration der Zertifizierungsausstellung angezeigt.
Verwenden Sie den Befehl certificate-manager
certificates describe
, um den Status eines Zertifikats aufzurufen:
gcloud certificate-manager certificates describeCERTIFICATE_NAME \ [--location="LOCATION "]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.LOCATION
: den Ziel Google Cloud standort. Der Standardspeicherort istglobal
. Dieses Flag ist optional.
So rufen Sie den Zertifikatsstatus ab:GET
certificates.get
GET /v1/projects/PROJECT_ID /locations/LOCATION /certificates/CERTIFICATE_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort.CERTIFICATE_NAME
ist der Name des Zertifikats.
Zertifikat löschen
Bevor Sie ein Zertifikat löschen, entfernen Sie es aus allen Zertifikatzuordnungseinträgen, die darauf verweisen. Andernfalls schlägt das Löschen fehl. Weitere Informationen finden Sie unter Eintrag in der Zertifikatzuordnung löschen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Zertifikate das Kästchen neben dem Zertifikat an, das Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
Verwenden Sie den Befehl certificate-manager certificates delete
, um ein Zertifikat zu löschen:
gcloud certificate-manager certificates deleteCERTIFICATE_NAME \ [--location="LOCATION "]
Ersetzen Sie Folgendes:
CERTIFICATE_NAME
ist der Name des Zertifikats.LOCATION
: den Ziel Google Cloud standort. Der Standardspeicherort istglobal
. Dieses Flag ist optional.
Löschen Sie das Zertifikat, indem Sie eine DELETE
-Anfrage an die Methode certificates.delete
stellen:
DELETE /v1/projects/PROJECT_ID /locations/LOCATION /certificates/CERTIFICATE_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: den Ziel Google Cloud standort.CERTIFICATE_NAME
ist der Name des Zertifikats.
Nächste Schritte
- Zertifikatzuordnungen verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Ressourcen für die Konfiguration der Zertifikatausstellung verwalten