Ressourcen für die Konfiguration der Zertifikatsausstellung verwalten

Auf dieser Seite wird beschrieben, wie Sie eine Konfigurationsressource für die Zertifikatsausstellung erstellen und verwalten.

Weitere Informationen zu Ressourcen zur Konfiguration der Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers.

Konfigurationsressource für die Zertifikatsausstellung erstellen

Bevor Sie die Ressourcen für die Ausstellungskonfiguration erstellen, konfigurieren Sie die CA-Dienstintegration mit Certificate Manager.

Wenn Sie eine Konfigurationsressource für die Zertifikatausstellung erstellen möchten, geben Sie die Gültigkeitsdauer, den Prozentsatz des Rotationszeitraums, den Schlüsselalgorithmus und den zu verwendenden CA-Pool des Zertifikats an.

Auch wenn Sie einen regionalen CA-Pool zum Ausstellen eines von Google verwalteten TLS-Zertifikats verwenden, kann das Zertifikat global verwendet werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Ausgabekonfigurationen auf Erstellen.

  3. Geben Sie im Feld Name einen eindeutigen Namen für die Konfigurationsressource für die Zertifikatsausstellung ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausweisausgabekonfiguration ein.

  5. Wählen Sie unter Standort die Option Global oder Regional aus. Wenn Sie Regional ausgewählt haben, wählen Sie dieselbe Region wie für Ihr Zertifikat und Ihren Zertifizierungsstellenpool aus.

  6. Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen an. Der Wert muss zwischen 21 und 30 Tagen liegen (einschließlich).

  7. Geben Sie unter Prozentsatz des Rotationszeitraums den Prozentsatz der Lebensdauer des Zertifikats an, zu dem der Verlängerungsvorgang beginnt. Informationen zu den gültigen Werten finden Sie unter Prozentsatz für die Lebensdauer und das Rotationsfenster.

  8. Wählen Sie in der Liste Schlüsselalgorithmus den Algorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.

  9. Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, den Sie dieser Konfigurationsressource für die Zertifikatausstellung zuweisen möchten.

  10. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs create, um eine Konfigurationsressource für die Ausstellung von Zertifikaten zu erstellen:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • CA_POOL: Der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie der Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im absoluten Zeitformat. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.
  • ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Verlängerung. Der Standardwert ist 66%. Informationen zu den gültigen Werten finden Sie unter [Prozentsatz des Lebenszyklus und des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.
  • KEY_ALGORITHM: Der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Dieses Flag ist optional.
  • LOCATION: den Ziel Google Cloud standort.

API

Erstellen Sie die Konfigurationsressource für die Zertifikatsausstellung. Stellen Sie dazu eine POST-Anfrage an die certificateIssuanceConfigs.create-Methode:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: den Ziel Google Cloud standort.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für die Konfigurationsressource für die Zertifikatsausstellung.
  • CA_POOL: Der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie der Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im absoluten Zeitformat. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.
  • ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Verlängerung. Der Standardwert ist 66%. Informationen zu den gültigen Werten finden Sie unter [Prozentsatz des Lebenszyklus und des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.
  • KEY_ALGORITHM: Der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Dieses Flag ist optional.

Laufzeit und Prozentsatz des Rotationsfensters

Wenn Sie eine Konfigurationsressource für die Zertifikatsausstellung erstellen, definieren Sie auch die Lebensdauer des Zertifikats im Feld Lifetime und wann der Verlängerungsprozess des Zertifikats vor Ablauf beginnt, im Feld Rotation window percentage.

Damit das Zertifikat mindestens sieben Tage vor Ablauf und sieben Tage nach Ausstellung verlängert wird, legen Sie den Prozentsatz des Rotationsfensters relativ zur Laufzeit des Zertifikats fest. Verwenden Sie die folgenden Formeln, um den zulässigen Bereich für den Prozentsatz des Rotationszeitraums zu berechnen:

  • Mindestwert: Prozentsatz des Rotationsfensters ≥ (7 ÷ Laufzeit) × 100
  • Maximalwert: Prozentsatz des Rotationsfensters ≤ ( (Laufzeit – 7) ÷ Laufzeit) × 100

In den vorherigen Formeln entspricht 7 sieben Tagen.

Wenn der Mindestwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl auf. Wenn der Höchstwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl ab.

Konfigurationen für die Zertifikatsausstellung auflisten

Sie können alle Konfigurationsressourcen für die Zertifikatsausstellung Ihres Projekts und ihre Details aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Ausstellungskonfigurationen. Auf dem Tab werden alle Konfigurationsressourcen für die Zertifikatausstellung aufgelistet, die vom Certificate Manager im ausgewählten Projekt verwaltet werden.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs list, um Konfigurationsressourcen für die Zertifikatausstellung aufzulisten:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

  • LOCATION: den Ziel Google Cloud standort.

API

So listen Sie konfigurierte Ressourcen für die Zertifikatsausstellung auf: Senden Sie eine LIST-Anfrage an die certificateIssuanceConfigs.list-Methode:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit dem Zertifikatsmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Status einer Ressource für die Konfiguration der Zertifikatsausstellung ansehen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Ausstellungskonfigurationen.

  3. Klicken Sie auf den Namen der Konfigurationsressource für die Zertifikatsausstellung, die Sie aufrufen möchten. In der Google Cloud Console werden die Details der Konfigurationsressource für die Zertifikatausstellung angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs describe, um den Status einer Konfigurationsressource für die Zertifikatsausstellung aufzurufen:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ersetzen Sie ISSUANCE_CONFIG_NAME durch den Namen der Konfigurationsressource für die Zertifikatausstellung, die auf den Ziel-CA-Pool verweist.

API

So rufen Sie den Status der Konfigurationsressource für die Zertifikatsausstellung ab:GETcertificateIssuanceConfigs.get

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.

Konfigurationsressource für die Zertifikatsausstellung löschen

Bevor Sie eine Konfigurationsressource für die Zertifikatausstellung löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, auf das sie verweist.

Wenn Sie die letzte Zertifizierungsstelle deaktivieren möchten, die Sie in einem CA-Pool aktiviert haben, auf den in der Konfigurationsressource für die Zertifikatsausstellung verwiesen wird, oder den CA-Pool vollständig löschen möchten, müssen Sie zuerst alle Konfigurationsressourcen für die Zertifikatsausstellung löschen, die auf den CA-Pool verweisen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Ausstellungskonfigurationen das Kästchen der Ausstellungskonfiguration an, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs delete, um eine Konfigurationsressource für die Zertifikatausstellung zu löschen:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • LOCATION: den Ziel Google Cloud standort.

API

So löschen Sie die Konfigurationsressource für die Zertifikatsausstellung: Senden Sie eine DELETE-Anfrage an die certificateIssuanceConfigs.delete-Methode:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.

Nächste Schritte