Konfigurationen von Vertrauensstellungen verwalten

Auf dieser Seite wird beschrieben, wie Sie Vertrauenskonfiguratioen für die Verwendung in Szenarien der gegenseitigen TLS-Authentifizierung (mTLS) erstellen und verwalten.

Weitere Informationen zu mTLS finden Sie in den folgenden Ressourcen:

Vertrauenskonfiguration erstellen

Wenn Sie eine Vertrauenskonfiguration erstellen, müssen Sie die Vertrauensanker angeben, die zum Validieren des Zertifikats verwendet werden.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

So erstellen Sie eine Vertrauenseinstellung:

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Trust Configs (Vertrauenskonfigurationen) auf Add Trust Config (Vertrauenskonfiguration hinzufügen).

  3. Geben Sie im Feld Name einen Namen für die Konfiguration ein.

    Der Name muss für das Projekt eindeutig sein. Außerdem muss er mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Konfiguration ein. Anhand dieser Beschreibung können Sie eine bestimmte Konfiguration später leichter identifizieren.

  5. Optional: Geben Sie im Feld Labels Labels an, die der Vertrauensstellung zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  6. Wählen Sie unter Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.

  7. Fügen Sie im Abschnitt Trust Store Trust-Anchors und Zwischen-CAs hinzu.

    Sie können mehrere Vertrauensanker und Zwischenzertifikate angeben, indem Sie mehrere Instanzen der vollständigen PEM-Nutzlast für das Zertifikat verwenden, ein Zertifikat pro Instanz.

    1. Klicken Sie im Bereich Trust Anchors (Trust Anchors) auf Trust Anchor hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Klicken Sie abschließend auf Hinzufügen.

    2. Optional: Klicken Sie im Bereich Zwischen-CAs auf Zwischen-CA hinzufügen und laden Sie die PEM-codierte Zwischenzertifikatdatei hoch oder kopieren Sie den Inhalt des Zwischenzertifikats. Klicken Sie abschließend auf Hinzufügen.

      Mit diesem Schritt können Sie eine weitere Vertrauensebene zwischen dem Stammzertifikat und Ihrem Serverzertifikat hinzufügen.

    3. Optional: Klicken Sie im Bereich Zertifikate auf der Zulassungsliste auf Zertifikat hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Dadurch wird das Zertifikat einer Zulassungsliste hinzugefügt. Klicken Sie abschließend auf Hinzufügen.

    Wenn Sie mehrere Trust Anchors oder Zwischenzertifikate in der Trust-Konfigurationsressourcenspezifikation angeben möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate. Jede Instanz des Felds enthält ein einzelnes Zertifikat.

    Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste kapseln möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate, ein Zertifikat pro Instanz. Sie benötigen keinen Trust Store, wenn Sie Zertifikate verwenden, die einer Zulassungsliste hinzugefügt wurden.

    Die Vertrauenseinstellung betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig, wenn es bestimmte Bedingungen erfüllt: Es muss parsbar sein, einen Nachweis über die Inhaberschaft des privaten Schlüssels enthalten und den Einschränkungen für das SAN-Feld des Zertifikats entsprechen. Abgelaufene Zertifikate gelten auch dann als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.

  8. Klicken Sie auf Erstellen.

Prüfen Sie, ob die neue Vertrauensstellung in der Liste der Konfigurationen angezeigt wird.

  1. Erstellen Sie eine YAML-Datei für die Vertrauensstellung, in der die Parameter für die Vertrauensstellung angegeben sind.

    Die Datei hat folgendes Format:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll.

    Wenn Sie mehrere Trust Anchors oder Zwischenzertifikate in der Trust-Konfigurationsressourcenspezifikation angeben möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate. Jede Instanz des Felds enthält ein einzelnes Zertifikat.

    Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste kapseln möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate, ein Zertifikat pro Instanz. Sie benötigen keinen Trust Store, wenn Sie Zertifikate verwenden, die einer Zulassungsliste hinzugefügt wurden.

    Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig, wenn es bestimmte Bedingungen erfüllt: Es muss parsbar sein, einen Nachweis über die Inhaberschaft des privaten Schlüssels enthalten und den Einschränkungen für das SAN-Feld des Zertifikats entsprechen. Abgelaufene Zertifikate gelten auch dann als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.

  2. Verwenden Sie den Befehl gcloud certificate-manager trust-configs import, um die YAML-Datei für die Vertrauensstellung zu importieren:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID des Google Cloud-Projekts.
    • TRUST_CONFIG_FILE: den vollständigen Pfad und Namen der YAML-Datei für die Vertrauensstellung, die Sie in Schritt 1 erstellt haben.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Stellen Sie eine POST-Anfrage an die Methode trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Dieser Wert ist optional.
  • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
  • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
  • ALLOWLISTED_CERT: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um es für diese Vertrauenskonfigurationsressource zu verwenden. Dieser Wert ist optional.

Vertrauenskonfiguration aktualisieren

Wenn Sie eine Vertrauensstellung aktualisieren möchten, erstellen Sie eine weitere YAML-Datei für die Vertrauensstellung, in der die neuen Parameter für die Vertrauensstellung angegeben sind, und importieren Sie diese Datei in den Zertifikatmanager.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Suchen Sie auf dem Tab Trust Configs (Trust-Konfigurationen) die Trust-Konfiguration, die Sie aktualisieren möchten, und wählen Sie sie aus.

  3. Klicken Sie in der Spalte Weitere Optionen für die Konfiguration, die Sie aktualisieren möchten, auf Weitere Aktionen und wählen Sie Bearbeiten aus.

  4. Nehmen Sie die erforderlichen Änderungen vor.

  5. Klicken Sie auf Speichern.

Prüfen Sie, ob die Konfigurationsänderungen aktualisiert wurden.

  1. Exportieren Sie die YAML-Datei für die Vertrauensstellung.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --destination=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID des Google Cloud-Projekts.
    • TRUST_CONFIG_FILE: der vollständige Pfad und Name der YAML-Datei für die Vertrauensstellung.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  2. Bearbeiten Sie die YAML-Datei für die Vertrauensstellung.

    Die Datei hat folgendes Format:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
  3. Importieren Sie die neue Vertrauenskonfigurationsdatei in den Zertifikatsmanager unter dem Namen der vorhandenen Vertrauenskonfigurationsressource.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --source=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID des Google Cloud-Projekts.
    • TRUST_CONFIG_FILE: der vollständige Pfad und Name der YAML-Datei für die Vertrauensstellung.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Stellen Sie eine PATCH-Anfrage an die Methode trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Diese Beschreibung ist optional.
  • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
  • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
  • ALLOWLISTED_CERT: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um es für diese Vertrauenskonfigurationsressource zu verwenden. Dieser Wert ist optional.

Konfigurationen von Vertrauensstellungen auflisten

Sie sehen alle konfigurierten Vertrauenskonfiguratioen Ihres Projekts.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)
  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Trust Configs (Vertrauenswürdige Konfigurationen). Der Tab enthält eine Liste der konfigurierten Ressourcen für die Vertrauensstellungskonfiguration.

Führen Sie den Befehl gcloud certificate-manager trust-configs list aus:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global. Wenn Sie alle Vertrauenskonfiguratioen für alle Standorte sehen möchten, geben Sie einen einzelnen Bindestrich (-) an.

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Wenn Sie alle Vertrauenskonfigurationen für alle Standorte sehen möchten, geben Sie einen einzelnen Bindestrich (-) an.
  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~) voranstellen.

Konfigurationen von Vertrauensstellungen ansehen

Sie können Details zu einer bestimmten Vertrauenskonfiguration aufrufen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Bearbeiter“ (roles/certificatemanager.editor)
  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)
  • Rolle „Zertifikatmanager-Betrachter“ (roles/certificatemanager.viewer)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Trust Configs (Vertrauenswürdige Konfigurationen). Der Tab enthält eine Liste der konfigurierten Ressourcen für Konfigurationen von Vertrauensstellungen.

  3. Wählen Sie die Konfigurationsressource für die Vertrauensstellung aus, um die Details aufzurufen. Auf der Seite Details zur Vertrauensstellungskonfiguration finden Sie detaillierte Informationen zur ausgewählten Vertrauensstellungskonfiguration.

Führen Sie den Befehl gcloud certificate-manager trust-configs describe aus:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.

Vertrauenskonfiguration löschen

Bevor Sie eine Konfiguration der Vertrauensstellung löschen, müssen Sie sie von der Ressource „Client Authentication“ (ServerTlsPolicy) trennen.

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.

  • Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Trust Configs (Trust-Konfigurationen) das Kästchen der Trust-Konfiguration an, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

Führen Sie den Befehl gcloud certificate-manager trust-configs delete aus:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Stellen Sie eine DELETE-Anfrage an die Methode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID des Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.

Nächste Schritte