Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration für die Zertifikatsausstellung erstellen und verwalten.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers
Zum Deaktivieren der letzten Zertifizierungsstelle, die Sie im Zertifizierungsstellenpool aktiviert haben, auf den im Konfiguration der Zertifikatsausstellung oder um den referenzierten CA-Pool vollständig zu löschen, müssen Sie Löschen Sie zuerst alle Konfigurationen für die Zertifikatsausstellung, die auf diesen CA-Pool verweisen.
Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager Siehe Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der
Referenz zur Zertifikatmanager-Befehlszeile
Konfiguration für die Zertifikatsausstellung erstellen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu erstellen.
Auch wenn Sie einen regionalen Zertifizierungsstellenpool verwenden, um einen von Google verwalteten TLS-Zertifikat enthält, ist das Zertifikat selbst global und kann in jeder Region verwendet werden.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Issuance Configs (Ausgabekonfigurationen) auf Create (Erstellen).
Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration der Zertifikatsausstellung ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausstellungskonfiguration ein.
Wählen Sie für Standort die Option Global oder Regional aus.
Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.
Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen ein. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.
Geben Sie unter Prozentsatz der Rotationsfenster den Prozentsatz der Lebensdauer des Zertifikats an, wenn der Verlängerungsprozess beginnt. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.
Wählen Sie aus der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.
Wählen Sie aus der Liste CA-Pool den Namen des CA-Pools aus, der dieser Konfiguration für die Zertifikatsausstellung zugewiesen werden soll.
Geben Sie im Feld Labels die Labels an, die mit dem Zertifikat verknüpft werden sollen. Klicken Sie zum Hinzufügen eines Labels auf Label hinzufügen und geben Sie
keyundvaluefür Ihr Label an.Klicken Sie auf Erstellen.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.CA_POOList der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen. Die Standardeinstellung beträgt 30 Tage.ROTATION_WINDOW_PERCENTAGE(optional) ist der Prozentsatz der Lebensdauer des Zertifikats zu Beginn der Verlängerung. Der Standardwert ist 66 %. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.KEY_ALGORITHM(optional) ist der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sindecdsa-p256undrsa-2048. Der Standardwert istrsa-2048.
API
Erstellen Sie die Konfiguration der Zertifikatsausstellung, indem Sie eine POST-Anfrage an certificateIssuanceConfigs.create stellen
so an:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAMEist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.DESCRIPTION(optional) ist eine aussagekräftige Beschreibung für diese Konfigurationsressource für die Zertifikatsausstellung.CA_POOList der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage in Standardformat für die Dauer Der Standardwert ist 30 Tage (30D).
ROTATION_WINDOW_PERCENTAGE(optional) ist der Prozentsatz der Lebensdauer des Zertifikats, zu dem der Verlängerungsprozess beginnt. Der Standardwert ist 66 %. Informationen zum Bereich der gültigen Werte finden Sie unter Prozentsatz von Lebensdauer und Rotationsfenster.KEY_ALGORITHMist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sindecdsa-p256undrsa-2048. Der Standardwert istrsa-2048.
Lebensdauer und Prozentsatz des Rotationsfensters
Wenn Sie eine Konfiguration für die Zertifikatsausstellung erstellen, geben Sie im Feld Lebensdauer auch die Lebensdauer des Zertifikats an. Im Feld Prozentsatz des Rotationsfensters legen Sie fest, wann die Verlängerung des Zertifikats vor Ablauf beginnt.
Um sicherzustellen, dass das Zertifikat mindestens sieben Tage vor Ablauf und sieben Tage nach seiner Ausstellung verlängert wird, legen Sie den Prozentsatz für das Rotationsfenster relativ zur Lebensdauer des Zertifikats fest. Verwenden Sie die folgenden Formeln, um den zulässigen Bereich für den Prozentsatz des Rotationsfensters zu berechnen:
- Mindestwert: Prozentsatz des Rotationsfensters ≥ (7 ÷ Lebensdauer) * 100
- Maximalwert: Prozentsatz des Rotationsfensters ≤ ( (Lebensdauer - 7) / Lebensdauer) * 100
In den vorherigen Formeln beträgt 7 sieben Tage.
Wenn der Mindestwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl auf. Wenn der Maximalwert ein Dezimalwert ist, rundet dieser auf die nächste ganze Zahl ab.
Konfigurationsressource für die Zertifikatsausstellung aktualisieren
Wenn Sie eine Konfigurationsressource für die Zertifikatsausstellung aktualisieren möchten, müssen Sie sie löschen und neu erstellen.
Konfigurationsressourcen für die Zertifikatsausstellung auflisten
Um die Konfigurationsressourcen für die Zertifikatsausstellung aufzulisten, führen Sie die Schritte in dieser .
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Issuance Configs (Ausgabekonfigurationen).
Auf dem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Ersetzen Sie Folgendes:
FILTERist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien:- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, Siehe Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.
- Labels und Erstellungszeit:
PAGE_SIZEist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMITist die maximale Anzahl von zurückzugebenden Ergebnissen.SORT_BYist eine durch Kommas getrennte Liste vonname-Feldern, durch die werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.
API
Konfigurierte Konfigurationsressourcen für die Zertifikatsausstellung auflisten, indem Sie eine LIST-Anfrage an certificateIssuanceConfigs.list stellen
so an:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.FILTERist ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.PAGE_SIZEist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BYist eine durch Kommas getrennte Liste von Feldnamen, durch die werden die zurückgegebenen Ergebnisse sortiert. Die Standardsortierreihenfolge ist aufsteigend. für absteigend sortieren möchten, stellen Sie dem Feld das Präfix~voran.
Status einer Konfiguration für die Zertifikatsausstellung ansehen
Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Konfiguration für die Zertifikatsausstellung anzusehen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Issuance Configs (Ausgabekonfigurationen).
Klicken Sie auf den Namen der Konfiguration der Zertifikatsausstellung, die Sie ansehen möchten.
In der Google Cloud Console werden die Konfigurationsdetails der Zertifikatsausstellung angezeigt.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist der Name der Konfiguration der Zielzertifikatausstellung.
API
Rufen Sie den Status der Konfiguration der Zertifikatsausstellung mit einer GET-Anfrage an certificateIssuanceConfigs.get auf
so an:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG__NAMEist der Name der Konfiguration der Zielzertifikatausstellung.
Konfiguration der Zertifikatsausstellung löschen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu löschen. Vor dem Löschen in einer Konfiguration für die Zertifikatsausstellung ist, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist.
Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager) auf dem Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Issuance Configs auf das Kästchen der Ausstellungskonfiguration, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist der Name der Konfiguration der Zielzertifikatausstellung.
API
Löschen Sie die Konfiguration der Zertifikatsausstellung, indem Sie eine DELETE-Anfrage an certificateIssuanceConfigs.delete stellen
so an:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAMEist der Name der Konfiguration der Zielzertifikatausstellung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten