Konfiguration für die Zertifikatausstellung verwalten

Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration für die Ausstellung von Zertifikaten erstellen und verwalten.

Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers

Wenn Sie die letzte Zertifizierungsstelle deaktivieren möchten, die Sie in dem in der Konfiguration zur Zertifikatausstellung referenzierten CA-Pool aktiviert haben, oder den referenzierten CA-Pool vollständig löschen möchten, müssen Sie zuerst alle Konfigurationen zur Zertifikatausstellung löschen, die auf diesen CA-Pool verweisen.

Weitere Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.

Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile

Konfiguration der Zertifikatsausstellung erstellen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu erstellen.

Auch wenn Sie einen regionalen CA-Pool zum Ausstellen eines von Google verwalteten TLS-Zertifikats verwenden, ist das Zertifikat selbst global und kann in jeder Region verwendet werden.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Issuance Configs (Ausgabekonfigurationen) auf Create (Erstellen).

  3. Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration der Zertifikatausstellung ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausgabekonfiguration ein.

  5. Wählen Sie für Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.

  6. Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen an. Der Wert muss zwischen 21 und 30 Tagen liegen (einschließlich).

  7. Geben Sie unter Prozentsatz der Rotationsfenster den Prozentsatz der Lebensdauer des Zertifikats an, wenn der Verlängerungsprozess beginnt. Informationen zu den gültigen Werten finden Sie unter Prozentsatz für den Lebenszyklus und das Rotationsfenster.

  8. Wählen Sie aus der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.

  9. Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, den Sie dieser Konfiguration für die Zertifikatausstellung zuweisen möchten.

  10. Geben Sie im Feld Labels die Labels an, die mit dem Zertifikat verknüpft werden sollen. Klicken Sie auf  Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen key und einen value für das Label an.

  11. Klicken Sie auf Erstellen.

gcloud 

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist ein eindeutiger Name, der diese Konfigurationsressource für die Zertifikatsausstellung identifiziert.
  • CA_POOL ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME (optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen. Standardmäßig ist der Wert 30 Tage.
  • ROTATION_WINDOW_PERCENTAGE (optional) ist der Prozentsatz der Lebensdauer des Zertifikats, zu dem die Verlängerung beginnt. Der Standardwert ist 66 Prozent. Informationen zu den gültigen Werten finden Sie unter Prozentsatz für den Lebenszyklus und das Rotationsfenster.
  • KEY_ALGORITHM (optional) ist der Verschlüsselungsalgorithmus zum Generieren des privaten Schlüssels. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048.

API

So erstellen Sie die Konfiguration der Zertifikatsausstellung:

POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig" {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG_NAME ist ein eindeutiger Name, der diese Konfigurationsressource für die Zertifikatsausstellung identifiziert.
  • DESCRIPTION (optional) ist eine aussagekräftige Beschreibung für diese Konfigurationsressource für die Zertifikatsausstellung.
  • CA_POOL ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME (optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert ist 30 Tage (30D).
  • ROTATION_WINDOW_PERCENTAGE (optional) ist der Prozentsatz der Lebensdauer des Zertifikats, zu dem die Verlängerung beginnt. Der Standardwert ist 66 %. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.
  • KEY_ALGORITHM ist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048.

Laufzeit und Prozentsatz des Rotationsfensters

Wenn Sie eine Konfiguration für die Zertifikatsausstellung erstellen, geben Sie im Feld Lebensdauer auch die Lebensdauer des Zertifikats an. Im Feld Prozentsatz des Rotationsfensters legen Sie fest, wann die Verlängerung des Zertifikats vor Ablauf beginnt.

Damit das Zertifikat mindestens sieben Tage vor Ablauf und sieben Tage nach Ausstellung verlängert wird, legen Sie den Prozentsatz des Rotationsfensters relativ zur Laufzeit des Zertifikats fest. Verwenden Sie die folgenden Formeln, um den zulässigen Bereich für den Prozentsatz des Rotationszeitraums zu berechnen:

  • Mindestwert: Prozentsatz des Rotationsfensters ≥ (7 ÷ Lebensdauer) * 100
  • Maximalwert: Prozentsatz des Rotationsfensters ≤ ( (Lebensdauer - 7) / Lebensdauer) * 100

In den vorherigen Formeln entspricht 7 sieben Tagen.

Wenn der Mindestwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl auf. Wenn der Höchstwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl ab.

Konfigurationen für die Zertifikatsausstellung auflisten

Um die Konfigurationen für die Zertifikatsausstellung aufzulisten, führen Sie die Schritte in dieser .

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Ausstellungskonfigurationen.

Auf dem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.

gcloud 

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • FILTER ist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden. Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, Siehe Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.

  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT ist die maximale Anzahl von zurückzugebenden Ergebnissen.

  • SORT_BY ist eine durch Kommas getrennte Liste von name-Feldern, durch die werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

API

So listen Sie konfigurierte Konfigurationsressourcen für die Zertifikatsausstellung auf:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Ziel-Google Cloud-Projekts.
  • FILTER ist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.
  • PAGE_SIZE ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.
  • SORT_BY ist eine durch Kommas getrennte Liste von Feldnamen, durch die werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem Feld das Präfix ~ voran.

Status einer Konfiguration für die Zertifikatsausstellung ansehen

Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Konfiguration für die Zertifikatsausstellung aufzurufen.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter
  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Ausstellungskonfigurationen.

  3. Klicken Sie auf den Namen der Konfiguration der Zertifikatsausstellung, die Sie ansehen möchten.

In der Google Cloud Console werden die Konfigurationsdetails für die Zertifikatausstellung angezeigt.

gcloud 

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration für die Ausstellung von Zielzertifikaten.

API

So rufen Sie den Status der Konfiguration für die Zertifikatausstellung auf:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG__NAME ist der Name der Konfiguration der Zielzertifikatausstellung.

Konfiguration der Zertifikatsausstellung aktualisieren

Sie können die Labels und Beschreibungen Ihrer Konfiguration für die Zertifikatausstellung entweder über die Google Cloud CLI oder API hinzufügen oder ändern.

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter
  • Zertifikatmanager-Inhaber

Weitere Informationen zu Rollen und Berechtigungen

gcloud

Verwenden Sie die Methode gcloud certificate-manager issuance-configs update um eine Konfiguration für die Zertifikatsausstellung zu aktualisieren:

gcloud certificate-manager issuance-configs update \
    ISSUANCE_CONFIG_NAME
    --update-labels="LABELS" \
    --description="DESCRIPTION"

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist der Name des Ziels. Konfiguration der Zertifikatsausstellung, die Sie aktualisieren möchten.
  • Optional: LABELS ist ein oder mehrere Labels, die Sie für die Konfiguration der Zertifikatausstellung angeben möchten. Labels müssen in einer durch Kommas getrennten Liste als KEY=VALUE-Paare angegeben werden.
  • Optional: DESCRIPTION beschreibt die Konfiguration der Zertifikatsausstellung.

API

Verwenden Sie die Methode certificateIssuanceConfigs.patch, um die Konfiguration der Zertifikatsausstellung zu aktualisieren:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Google Cloud-Zielprojekts.
  • ISSUANCE_CONFIG_NAME ist der Name der Zielkonfiguration für die Ausstellung von Zertifikaten, die Sie aktualisieren möchten.
  • Optional: Sie können für jede Zertifikatsausstellung ein oder mehrere Labels angeben Konfiguration.
    • LABEL_KEY ist der Labelschlüssel.
    • LABEL_VALUE_ ist der Wert des Labels.
  • Optional: DESCRIPTION beschreibt die Konfiguration der Zertifikatsausstellung.

Konfiguration der Zertifikatsausstellung löschen

Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu löschen. Vor dem Löschen in einer Konfiguration für die Zertifikatsausstellung ist, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist.

Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager) auf dem Google Cloud-Zielprojekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Ausstellungskonfigurationen das Kästchen der Ausstellungskonfiguration an, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud 

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration für die Ausstellung von Zielzertifikaten.

API

Löschen Sie die Konfiguration der Zertifikatsausstellung, indem Sie eine DELETE-Anfrage an certificateIssuanceConfigs.delete stellen wie folgt:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID ist die ID des Ziel-Google Cloud-Projekts.
  • ISSUANCE_CONFIG_NAME ist der Name der Konfiguration für die Ausstellung von Zielzertifikaten.

Nächste Schritte