Konfiguration der Zertifikatsausstellung verwalten

Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration für die Zertifikatsausstellung erstellen und verwalten.

Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers.

Wenn Sie die letzte Zertifizierungsstelle aktivieren, die Sie im CA-Pool aktiviert haben, auf den in der Konfiguration der Zertifikatsausstellung verwiesen wird, oder um den referenzierten CA-Pool vollständig zu löschen, müssen Sie zuerst alle Konfigurationen für die Zertifikatsausstellung löschen, die auf diesen CA-Pool verweisen.

Informationen zum Bereitstellen eines Zertifikats mit Certificate Manager finden Sie unter Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile.

Konfiguration für die Zertifikatsausstellung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu erstellen.

Auch wenn Sie einen regionalen CA-Pool zum Ausstellen eines von Google verwalteten TLS-Zertifikats verwenden, ist das Zertifikat selbst global und kann in jeder Region verwendet werden.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.
  • CA_POOL ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME (optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen. Die Standardeinstellung beträgt 30 Tage.
  • ROTATION_WINDOW_PERCENTAGE (optional) ist der Prozentsatz der Lebensdauer des Zertifikats, ab dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters im Verhältnis zur Lebensdauer des Zertifikats so einstellen, dass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.
    • Das Zertifikat muss spätestens sieben Tage nach Ablauf verlängert werden.
  • KEY_ALGORITHM (optional) ist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048.

API

Erstellen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine POST-Anfrage an die Methode certificateIssuanceConfigs.create:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG_NAME ist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.
  • DESCRIPTION (optional) ist eine aussagekräftige Beschreibung für diese Konfigurationsressource für die Zertifikatsausstellung.
  • CA_POOL ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
    • CERTIFICATE_LIFETIME (optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert ist 30 Tage (30D).
  • ROTATION_WINDOW_PERCENTAGE (optional) ist der Prozentsatz der Lebensdauer des Zertifikats, ab dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters im Verhältnis zur Lebensdauer des Zertifikats so einstellen, dass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.
  • KEY_ALGORITHM ist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048.

Konfigurationsressource für die Zertifikatsausstellung aktualisieren

Wenn Sie eine Konfigurationsressource für die Zertifikatsausstellung aktualisieren möchten, müssen Sie sie löschen und neu erstellen.

Konfigurationsressourcen für die Zertifikatsausstellung auflisten

Führen Sie die Schritte in diesem Abschnitt aus, um die Konfigurationsressourcen für die Zertifikatsausstellung aufzulisten.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Issuance Configs aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt. Sie können Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele für die Verwendung mit dem Zertifikatmanager finden Sie in der Dokumentation zum Cloud Key Management Service unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, nach der die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem Feld eine Tilde (~) voran.

API

Wenn Sie die konfigurierten Konfigurationsressourcen für die Zertifikatsausstellung auflisten möchten, stellen Sie so eine LIST-Anfrage an die Methode certificateIssuanceConfigs.list:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • FILTER ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Geben Sie für die absteigende Sortierreihenfolge dem Feld ~ voran.

Status einer Konfiguration für die Zertifikatsausstellung ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Konfiguration für die Zertifikatsausstellung anzusehen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Issuance Configs aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.

  3. Klicken Sie auf die Konfiguration der Zertifikatsausstellung, die Sie ansehen möchten.

In der Google Cloud Console werden die Konfigurationsdetails der Zertifikatsausstellung angezeigt.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration der Zielzertifikatausstellung.

API

Sehen Sie sich den Status der Konfiguration der Zertifikatsausstellung an. Stellen Sie dazu eine GET-Anfrage an die Methode certificateIssuanceConfigs.get:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG__NAME ist der Name der Konfiguration der Zielzertifikatausstellung.

Konfiguration der Zertifikatsausstellung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu löschen. Bevor Sie die Konfiguration der Zertifikatsausstellung löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist.

Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Inhaber des Zertifikats) für das Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Issuance Configs auf das Kästchen der Ausstellungskonfiguration, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration der Zielzertifikatausstellung.

API

Löschen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine DELETE-Anfrage an die Methode certificateIssuanceConfigs.delete:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration der Zielzertifikatausstellung.

Nächste Schritte