Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration für die Zertifikatsausstellung erstellen und verwalten.
Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Funktionsweise des Zertifikatmanagers.
Wenn Sie die letzte Zertifizierungsstelle aktivieren, die Sie im CA-Pool aktiviert haben, auf den in der Konfiguration der Zertifikatsausstellung verwiesen wird, oder um den referenzierten CA-Pool vollständig zu löschen, müssen Sie zuerst alle Konfigurationen für die Zertifikatsausstellung löschen, die auf diesen CA-Pool verweisen.
Informationen zum Bereitstellen eines Zertifikats mit Certificate Manager finden Sie unter Bereitstellungsübersicht.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud
-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile.
Konfiguration für die Zertifikatsausstellung erstellen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu erstellen.
Auch wenn Sie einen regionalen CA-Pool zum Ausstellen eines von Google verwalteten TLS-Zertifikats verwenden, ist das Zertifikat selbst global und kann in jeder Region verwendet werden.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
gcloud
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \ --ca-pool=CA_POOL \ --lifetime=CERTIFICATE_LIFETIME \ --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \ --key-algorithm=KEY_ALGORITHM
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME
ist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.CA_POOL
ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME
(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen. Die Standardeinstellung beträgt 30 Tage.ROTATION_WINDOW_PERCENTAGE
(optional) ist der Prozentsatz der Lebensdauer des Zertifikats, ab dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters im Verhältnis zur Lebensdauer des Zertifikats so einstellen, dass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.- Das Zertifikat muss spätestens sieben Tage nach Ablauf verlängert werden.
KEY_ALGORITHM
(optional) ist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sindecdsa-p256
undrsa-2048
. Der Standardwert istrsa-2048
.
API
Erstellen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine POST
-Anfrage an die Methode certificateIssuanceConfigs.create
:
POST /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME { "name": "ISSUANCE_CONFIG_NAME", "description": "DESCRIPTION", "certificateAuthorityConfig": { "certificateAuthorityServiceConfig" { "caPool": "CA_POOL" }, }, "lifetime": "CERTIFICATE_LIFETIME", "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE", "keyAlgorithm": "KEY_ALGORITHM", }
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAME
ist ein eindeutiger Name, mit dem diese Konfigurationsressource für die Zertifikatsausstellung identifiziert wird.DESCRIPTION
(optional) ist eine aussagekräftige Beschreibung für diese Konfigurationsressource für die Zertifikatsausstellung.CA_POOL
ist der vollständige Ressourcenpfad und der Name des CA-Pools, den Sie dieser Konfigurationsressource für die Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME
(optional) ist die Lebensdauer des Zertifikats in Tagen. Gültige Werte sind 21 bis 30 Tage im Standardformat für die Dauer. Der Standardwert ist 30 Tage (30D
).
ROTATION_WINDOW_PERCENTAGE
(optional) ist der Prozentsatz der Lebensdauer des Zertifikats, ab dem eine Verlängerung ausgelöst wird. Der Standardwert ist 66 %. Sie müssen den Prozentsatz des Rotationsfensters im Verhältnis zur Lebensdauer des Zertifikats so einstellen, dass die Zertifikatsverlängerung mindestens 7 Tage nach Ausstellung des Zertifikats und mindestens 7 Tage vor dem Ablauf erfolgt.KEY_ALGORITHM
ist der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sindecdsa-p256
undrsa-2048
. Der Standardwert istrsa-2048
.
Konfigurationsressource für die Zertifikatsausstellung aktualisieren
Wenn Sie eine Konfigurationsressource für die Zertifikatsausstellung aktualisieren möchten, müssen Sie sie löschen und neu erstellen.
Konfigurationsressourcen für die Zertifikatsausstellung auflisten
Führen Sie die Schritte in diesem Abschnitt aus, um die Konfigurationsressourcen für die Zertifikatsausstellung aufzulisten.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Issuance Configs aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
gcloud
gcloud certificate-manager issuance-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY"
Ersetzen Sie Folgendes:
FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt. Sie können Ergebnisse beispielsweise nach den folgenden Kriterien filtern:- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Filterbeispiele für die Verwendung mit dem Zertifikatmanager finden Sie in der Dokumentation zum Cloud Key Management Service unter Listenergebnisse sortieren und filtern.
- Labels und Erstellungszeit:
PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT
ist die maximale Anzahl von zurückzugebenden Ergebnissen.SORT_BY
ist eine durch Kommas getrennte Liste vonname
-Feldern, nach der die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem Feld eine Tilde (~
) voran.
API
Wenn Sie die konfigurierten Konfigurationsressourcen für die Zertifikatsausstellung auflisten möchten, stellen Sie so eine LIST
-Anfrage an die Methode certificateIssuanceConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.FILTER
ist ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.PAGE_SIZE
ist die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY
ist eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Geben Sie für die absteigende Sortierreihenfolge dem Feld~
voran.
Status einer Konfiguration für die Zertifikatsausstellung ansehen
Führen Sie die Schritte in diesem Abschnitt aus, um den Status einer Konfiguration für die Zertifikatsausstellung anzusehen.
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter
- Zertifikatmanager-Bearbeiter
- Zertifikatmanager-Inhaber
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Wählen Sie auf der angezeigten Seite den Tab Issuance Configs aus. Auf diesem Tab werden alle Konfigurationsressourcen für die Zertifikatsausstellung aufgelistet, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
Klicken Sie auf die Konfiguration der Zertifikatsausstellung, die Sie ansehen möchten.
In der Google Cloud Console werden die Konfigurationsdetails der Zertifikatsausstellung angezeigt.
gcloud
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME
ist der Name der Konfiguration der Zielzertifikatausstellung.
API
Sehen Sie sich den Status der Konfiguration der Zertifikatsausstellung an. Stellen Sie dazu eine GET
-Anfrage an die Methode certificateIssuanceConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG__NAME
ist der Name der Konfiguration der Zielzertifikatausstellung.
Konfiguration der Zertifikatsausstellung löschen
Führen Sie die Schritte in diesem Abschnitt aus, um eine Konfiguration für die Zertifikatsausstellung zu löschen. Bevor Sie die Konfiguration der Zertifikatsausstellung löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist.
Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Inhaber des Zertifikats) für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Issuance Configs auf das Kästchen der Ausstellungskonfiguration, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME
ist der Name der Konfiguration der Zielzertifikatausstellung.
API
Löschen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine DELETE
-Anfrage an die Methode certificateIssuanceConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_ID
ist die ID des Google Cloud-Zielprojekts.ISSUANCE_CONFIG_NAME
ist der Name der Konfiguration der Zielzertifikatausstellung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten