Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration für die Zertifikatsausstellung erstellen und verwalten.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers.
Wenn Sie die letzte aktivierte Zertifizierungsstelle im CA-Pool aktivieren möchten, auf den in der Zertifikatsausstellungskonfiguration verwiesen wurde, oder wenn Sie den referenzierten CA-Pool vollständig löschen möchten, müssen Sie zuerst jede Konfiguration der Zertifikatsausstellung löschen, die auf diesen CA-Pool verweist.
Informationen zum Bereitstellen eines Zertifikats mit dem Zertifikatmanager finden Sie unter Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.
Konfiguration für die Zertifikatsausstellung erstellen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu erstellen.
Auch wenn Sie einen regionalen Zertifizierungsstellenpool verwenden, um ein von Google verwaltetes TLS-Zertifikat auszustellen, ist das Zertifikat selbst global und kann in jeder Region verwendet werden.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.CA_POOList der vollständige Ressourcenpfad und Name des Zertifizierungsstellenpools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte reichen von 21 bis 30 Tagen. Der Standardwert ist 30 Tage.ROTATION_WINDOW_PERCENTAGE(optional) gibt den Prozentsatz der Lebensdauer des Zertifikats an, in dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, sodass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.- Das Zertifikat muss mindestens 7 Tage nach Ablauf verlängert werden.
KEY_ALGORITHM(optional) ist der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sindecdsa-p256undrsa-2048. Der Standardwert istrsa-2048.
API
Erstellen Sie die Konfiguration für die Zertifikatsausstellung. Stellen Sie dazu wie folgt eine POST-Anfrage an die Methode certificateIssuanceConfigs.create:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig" {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAMEist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.DESCRIPTION(optional) ist eine aussagekräftige Beschreibung für diese Konfigurationsressource zur Zertifikatsausstellung.CA_POOList der vollständige Ressourcenpfad und Name des Zertifizierungsstellenpools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert ist 30 Tage (30D).
ROTATION_WINDOW_PERCENTAGE(optional) gibt den Prozentsatz der Lebensdauer des Zertifikats an, in dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters in Bezug auf die Zertifikatslebensdauer festlegen, sodass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor Ablauf erfolgt.KEY_ALGORITHMist der Verschlüsselungsalgorithmus, mit dem der private Schlüssel generiert wird. Gültige Werte sindecdsa-p256undrsa-2048. Der Standardwert istrsa-2048.
Konfigurationsressource für die Zertifikatsausstellung aktualisieren
Wenn Sie eine Konfigurationsressource für die Zertifikatsausstellung aktualisieren möchten, müssen Sie sie löschen und neu erstellen.
Konfigurationsressourcen für die Zertifikatsausstellung auflisten
Führen Sie die Schritte in diesem Abschnitt aus, um die Konfigurationsressourcen für die Zertifikatsausstellung aufzulisten.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Issuance Configs (Ausstellungskonfigurationen) aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgeführt, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
gcloud
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY"
Ersetzen Sie Folgendes:
FILTERist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt. Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele zum Filtern von Daten, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.
- Labels und Erstellungszeit:
PAGE_SIZEist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMITist die maximale Anzahl von zurückzugebenden Ergebnissen.SORT_BYist eine durch Kommas getrennte Liste vonname-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Stellen Sie dem Feld bei absteigender Sortierreihenfolge eine Tilde (~) voran.
API
Listen Sie die konfigurierten Konfigurationsressourcen für die Zertifikatsausstellung auf. Stellen Sie dazu wie folgt eine LIST-Anfrage an die Methode certificateIssuanceConfigs.list:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.FILTERist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.PAGE_SIZEist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BYist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierung ist aufsteigend. Bei absteigender Sortierreihenfolge muss dem Feld das Präfix~vorangestellt werden.
Status einer Konfiguration für die Zertifikatsausstellung ansehen
Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Konfiguration für die Zertifikatsausstellung anzusehen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Issuance Configs (Ausstellungskonfigurationen) aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgeführt, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
Klicken Sie auf die Konfiguration für die Zertifikatsausstellung, die Sie sich ansehen möchten.
In der Google Cloud Console werden die Konfigurationsdetails für die Zertifikatsausstellung angezeigt.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist der Name der Zielkonfiguration für die Zertifikatsausstellung.
API
Rufen Sie den Status der Konfiguration der Zertifikatsausstellung auf. Stellen Sie dazu wie folgt eine GET-Anfrage an die Methode certificateIssuanceConfigs.get:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG__NAMEist der Name der Zielkonfiguration für die Zertifikatsausstellung.
Konfiguration für Zertifikatsausstellung löschen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu löschen. Bevor Sie die Konfiguration für die Zertifikatsausstellung löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist.
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAMEist der Name der Zielkonfiguration für die Zertifikatsausstellung.
API
Löschen Sie die Konfiguration für die Zertifikatsausstellung. Stellen Sie dazu wie folgt eine DELETE-Anfrage an die Methode certificateIssuanceConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_IDist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAMEist der Name der Zielkonfiguration für die Zertifikatsausstellung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Einträge in der Zertifikatszuordnung verwalten
- DNS-Autorisierungen verwalten