Auf dieser Seite wird beschrieben, wie Sie Vertrauenskonfiguratioen für die Verwendung in Szenarien der gegenseitigen TLS-Authentifizierung (mTLS) erstellen und verwalten.
Weitere Informationen zu mTLS finden Sie in den folgenden Ressourcen:
Informationen zu den Konzepten von Vertrauenskonfigurationen, Vertrauensanker und Zwischenzertifikaten finden Sie unter Vertrauenskonfigurationen.
Weitere Informationen zu mTLS finden Sie in der Cloud Load Balancing-Dokumentation unter Mutual TLS.
Informationen zum Konfigurieren von mTLS auf Ihrem Zielproxy mit einer Vertrauenskonfiguration finden Sie auf den folgenden Seiten der Cloud Load Balancing-Dokumentation:
Vertrauenskonfiguration erstellen
Wenn Sie eine Vertrauenskonfiguration erstellen, müssen Sie die Vertrauensanker angeben, die zum Validieren des Zertifikats verwendet werden.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
So erstellen Sie eine Vertrauenseinstellung:
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Trust Configs (Vertrauenskonfigurationen) auf Add Trust Config (Vertrauenskonfiguration hinzufügen).
Geben Sie im Feld Name einen Namen für die Konfiguration ein.
Der Name muss für das Projekt eindeutig sein. Außerdem muss er mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Konfiguration ein. Anhand dieser Beschreibung können Sie eine bestimmte Konfiguration später leichter identifizieren.
Optional: Geben Sie im Feld Labels Labels an, die der Vertrauensstellung zugeordnet werden sollen. Klicken Sie auf
Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.Wählen Sie unter Standort die Option Global oder Regional aus.
Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.
Fügen Sie im Abschnitt Trust Store Trust-Anchors und Zwischen-CAs hinzu.
Sie können mehrere Vertrauensanker und Zwischenzertifikate angeben, indem Sie mehrere Instanzen der vollständigen PEM-Nutzlast für das Zertifikat verwenden, ein Zertifikat pro Instanz.
Klicken Sie im Bereich Trust Anchors (Trust Anchors) auf Trust Anchor hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Klicken Sie abschließend auf Hinzufügen.
Optional: Klicken Sie im Bereich Zwischen-CAs auf Zwischen-CA hinzufügen und laden Sie die PEM-codierte Zwischenzertifikatdatei hoch oder kopieren Sie den Inhalt des Zwischenzertifikats. Klicken Sie abschließend auf Hinzufügen.
Mit diesem Schritt können Sie eine weitere Vertrauensebene zwischen dem Stammzertifikat und Ihrem Serverzertifikat hinzufügen.
Optional: Klicken Sie im Bereich Zertifikate auf der Zulassungsliste auf Zertifikat hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Dadurch wird das Zertifikat einer Zulassungsliste hinzugefügt. Klicken Sie abschließend auf Hinzufügen.
Wenn Sie mehrere Trust Anchors oder Zwischenzertifikate in der Trust-Konfigurationsressourcenspezifikation angeben möchten, verwenden Sie mehrere Instanzen des Felds
pemCertificate
. Jede Instanz des Felds enthält ein einzelnes Zertifikat.Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste kapseln möchten, verwenden Sie mehrere Instanzen des Felds
pemCertificate
, ein Zertifikat pro Instanz. Sie benötigen keinen Trust Store, wenn Sie Zertifikate verwenden, die einer Zulassungsliste hinzugefügt wurden.Die Vertrauenseinstellung betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig, wenn es bestimmte Bedingungen erfüllt: Es muss parsbar sein, einen Nachweis über die Inhaberschaft des privaten Schlüssels enthalten und den Einschränkungen für das SAN-Feld des Zertifikats entsprechen. Abgelaufene Zertifikate gelten auch dann als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.
Klicken Sie auf Erstellen.
Prüfen Sie, ob die neue Vertrauensstellung in der Liste der Konfigurationen angezeigt wird.
Erstellen Sie eine YAML-Datei für die Vertrauensstellung, in der die Parameter für die Vertrauensstellung angegeben sind.
Die Datei hat folgendes Format:
name: "
TRUST_CONFIG_ID " trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD " intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD " allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1 " - pemCertificate: "ALLOWLISTED_CERT2 "Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.ALLOWLISTED_CERT1
undALLOWLISTED_CERT2
: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll.
Wenn Sie mehrere Trust Anchors oder Zwischenzertifikate in der Trust-Konfigurationsressourcenspezifikation angeben möchten, verwenden Sie mehrere Instanzen des Felds
pemCertificate
. Jede Instanz des Felds enthält ein einzelnes Zertifikat.Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste kapseln möchten, verwenden Sie mehrere Instanzen des Felds
pemCertificate
, ein Zertifikat pro Instanz. Sie benötigen keinen Trust Store, wenn Sie Zertifikate verwenden, die einer Zulassungsliste hinzugefügt wurden.Die Vertrauenskonfiguration betrachtet ein Zertifikat auf einer Zulassungsliste immer als gültig, wenn es bestimmte Bedingungen erfüllt: Es muss parsbar sein, einen Nachweis über die Inhaberschaft des privaten Schlüssels enthalten und den Einschränkungen für das SAN-Feld des Zertifikats entsprechen. Abgelaufene Zertifikate gelten auch dann als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.
Verwenden Sie den Befehl
gcloud certificate-manager trust-configs import
, um die YAML-Datei für die Vertrauensstellung zu importieren:gcloud certificate-manager trust-configs import
TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.PROJECT_ID
: ID des Google Cloud-Projekts.TRUST_CONFIG_FILE
: den vollständigen Pfad und Namen der YAML-Datei für die Vertrauensstellung, die Sie in Schritt 1 erstellt haben.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.
Stellen Sie eine POST
-Anfrage an die Methode trustConfigs.create
:
POST /v1/projects/PROJECT_ID /locations/LOCATION /trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION ", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD " }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD " }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT " }], }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.DESCRIPTION
: Eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Dieser Wert ist optional.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT
: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um es für diese Vertrauenskonfigurationsressource zu verwenden. Dieser Wert ist optional.
Vertrauenskonfiguration aktualisieren
Wenn Sie eine Vertrauensstellung aktualisieren möchten, erstellen Sie eine weitere YAML-Datei für die Vertrauensstellung, in der die neuen Parameter für die Vertrauensstellung angegeben sind, und importieren Sie diese Datei in den Zertifikatmanager.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Suchen Sie auf dem Tab Trust Configs (Trust-Konfigurationen) die Trust-Konfiguration, die Sie aktualisieren möchten, und wählen Sie sie aus.
Klicken Sie in der Spalte Weitere Optionen für die Konfiguration, die Sie aktualisieren möchten, auf
Weitere Aktionen und wählen Sie Bearbeiten aus.Nehmen Sie die erforderlichen Änderungen vor.
Klicken Sie auf Speichern.
Prüfen Sie, ob die Konfigurationsänderungen aktualisiert wurden.
Exportieren Sie die YAML-Datei für die Vertrauensstellung.
gcloud certificate-manager trust-configs export
TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATION Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.PROJECT_ID
: ID des Google Cloud-Projekts.TRUST_CONFIG_FILE
: der vollständige Pfad und Name der YAML-Datei für die Vertrauensstellung.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.
Bearbeiten Sie die YAML-Datei für die Vertrauensstellung.
Die Datei hat folgendes Format:
name: "
TRUST_CONFIG_ID " trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD " intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD " allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1 " - pemCertificate: "ALLOWLISTED_CERT2 "Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT1
undALLOWLISTED_CERT2
: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
Importieren Sie die neue Vertrauenskonfigurationsdatei in den Zertifikatsmanager unter dem Namen der vorhandenen Vertrauenskonfigurationsressource.
gcloud certificate-manager trust-configs import
TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.PROJECT_ID
: ID des Google Cloud-Projekts.TRUST_CONFIG_FILE
: der vollständige Pfad und Name der YAML-Datei für die Vertrauensstellung.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.
Stellen Sie eine PATCH
-Anfrage an die Methode trustConfigs.update
:
PATCH /v1/projects/PROJECT_ID /locations/LOCATION /trustConfigs/TRUST_CONFIG_ID ?update_mask=* { "description": "DESCRIPTION ", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD " }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD " }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT " }], }
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.DESCRIPTION
: Eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Diese Beschreibung ist optional.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT
: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um es für diese Vertrauenskonfigurationsressource zu verwenden. Dieser Wert ist optional.
Konfigurationen von Vertrauensstellungen auflisten
Sie sehen alle konfigurierten Vertrauenskonfiguratioen Ihres Projekts.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
) - Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Trust Configs (Vertrauenswürdige Konfigurationen). Der Tab enthält eine Liste der konfigurierten Ressourcen für die Vertrauensstellungskonfiguration.
Führen Sie den Befehl gcloud certificate-manager trust-configs list
aus:
gcloud certificate-manager trust-configs list \ --filter="FILTER " \ --page-size="PAGE_SIZE " \ --limit="LIMIT " \ --sort-by="SORT_BY " \ --location=LOCATION
Ersetzen Sie Folgendes:
FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.LIMIT
: Die maximale Anzahl der zurückzugebenden Ergebnisse.SORT_BY
: eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
. Wenn Sie alle Vertrauenskonfiguratioen für alle Standorte sehen möchten, geben Sie einen einzelnen Bindestrich (-
) an.
Stellen Sie eine GET
-Anfrage an die Methode trustConfigs.list
:
GET /v1/projects/PROJECT_ID /locations/LOCATION /trustConfigs?filter=FILTER &pageSize=PAGE_SIZE &sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Wenn Sie alle Vertrauenskonfigurationen für alle Standorte sehen möchten, geben Sie einen einzelnen Bindestrich (-
) an.FILTER
: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE
: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.SORT_BY
: eine durch Kommas getrennte Liste vonname
-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Um in absteigender Reihenfolge zu sortieren, müssen Sie dem Feld eine Tilde (~
) voranstellen.
Konfigurationen von Vertrauensstellungen ansehen
Sie können Details zu einer bestimmten Vertrauenskonfiguration aufrufen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Bearbeiter“ (
roles/certificatemanager.editor
) - Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
) - Rolle „Zertifikatmanager-Betrachter“ (
roles/certificatemanager.viewer
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Trust Configs (Vertrauenswürdige Konfigurationen). Der Tab enthält eine Liste der konfigurierten Ressourcen für Konfigurationen von Vertrauensstellungen.
Wählen Sie die Konfigurationsressource für die Vertrauensstellung aus, um die Details aufzurufen. Auf der Seite Details zur Vertrauensstellungskonfiguration finden Sie detaillierte Informationen zur ausgewählten Vertrauensstellungskonfiguration.
Führen Sie den Befehl gcloud certificate-manager trust-configs describe
aus:
gcloud certificate-manager trust-configs describeTRUST_CONFIG_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.
Stellen Sie eine GET
-Anfrage an die Methode trustConfigs.get
:
GET /v1/projects/PROJECT_ID /locations/LOCATION /trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.
Vertrauenskonfiguration löschen
Bevor Sie eine Konfiguration der Vertrauensstellung löschen, müssen Sie sie von der Ressource „Client Authentication“ (ServerTlsPolicy
) trennen.
Für diese Aufgabe erforderliche Rollen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden IAM-Rollen für das Ziel-Google Cloud-Projekt.
- Rolle „Zertifikatmanager-Inhaber“ (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf dem Tab Trust Configs (Trust-Konfigurationen) das Kästchen der Trust-Konfiguration an, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
Führen Sie den Befehl gcloud certificate-manager trust-configs delete
aus:
gcloud certificate-manager trust-configs deleteTRUST_CONFIG_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.
Stellen Sie eine DELETE
-Anfrage an die Methode trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID /locations/LOCATION /trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: ID des Google Cloud-Projekts.LOCATION
: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort istglobal
.TRUST_CONFIG_ID
: die ID der Vertrauenskonfigurationsressource.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatzuordnungen verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Ressourcen für die Konfiguration der Zertifikatausstellung verwalten