Auf dieser Seite wird beschrieben, wie Sie Konfigurationen von Vertrauensstellungen zur Verwendung bei gegenseitigem Kontakt erstellen und verwalten Szenarien für die TLS-Authentifizierung (mTLS).
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen zu Konfigurationen von Vertrauensstellungen, Vertrauensanker und Zwischenzertifikate Zertifikate finden Sie unter Konfigurationen von Vertrauensstellungen. im Artikel Funktionsweise des Zertifikatmanagers.
Weitere Informationen zu mTLS finden Sie unter Gegenseitige TLS-Authentifizierung. in der Cloud Load Balancing-Dokumentation.
Informationen zur Verwendung einer Konfiguration der Vertrauensstellung zum Konfigurieren von mTLS für Ihren Zielproxy finden Sie in einem der folgenden Seiten der Dokumentation zu Cloud Load Balancing:
Bei der gcloud
-Anleitung auf dieser Seite wird davon ausgegangen, dass Sie
Cloud Shell oder eine andere Umgebung, in der bash
installiert ist
Weitere Informationen zu den auf dieser Seite verwendeten gcloud
-Befehlen finden Sie in der
Referenz zur Zertifikatmanager-Befehlszeile
Vertrauenskonfiguration erstellen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor
) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
So erstellen Sie eine Konfiguration der Vertrauensstellung:
Erstellen Sie eine YAML-Datei für die Konfiguration der Vertrauensstellung, in der die Parameter der Konfiguration der Vertrauensstellung angegeben sind. Die Datei hat das folgende Format:
trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: eine eindeutige ID zur Identifizierung Konfigurationsressource der Vertrauensstellung.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: der vollständige PEM Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll . Dieser Wert ist optional.ALLOWLISTED_CERT1
undALLOWLISTED_CERT2
: die Zertifikate, die einem Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.Sie können mehrere Trust-Anchors und Zwischenzertifikate angeben, indem Sie Verwendung mehrerer Instanzen des Felds
pemCertificate
, 1 Zertifikat pro Instanz in den entsprechenden Abschnitten der Konfigurationsressource der Vertrauensstellung Spezifikation zu ändern.Ein Zertifikat, das einer Zulassungsliste hinzugefügt wird, stellt jedes Zertifikat dar, kann in die Konfiguration der Vertrauensstellung gekapselt werden, sodass sie immer als gültig sein. Um mehrere Zertifikate in einer Zulassungsliste im Konfiguration der Vertrauensstellung, mehrere Instanzen des Felds
pemCertificate
verwenden, eine Zertifikat pro Instanz. Sie benötigen keinen Trust Store, Zertifikate, die einer Zulassungsliste hinzugefügt wurden. Ein hinzugefügtes Zertifikat zu einer Zulassungsliste hinzugefügt, gilt immer als gültig, solange das Zertifikat parsebar ist, ein Nachweis des Besitzes des privaten Schlüssels vorhanden ist und Einschränkungen im Feld „SAN“ des Zertifikats erfüllt sind. Abgelaufene Zertifikate sind ebenfalls wenn sie auf eine Zulassungsliste gesetzt werden. Weitere Informationen zum PEM-codierten Format, siehe RFC 7468.
Importieren Sie die Konfigurationsdatei der Vertrauensstellung in den Zertifikatmanager:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs import
aus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: eine eindeutige ID zur Identifizierung Konfigurationsressource der Vertrauensstellung.PROJECT_ID
: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE
: der vollständige Pfad und Name der Trust-Konfigurationsdatei, die Sie in Schritt 1 erstellt haben.LOCATION
: Region, in der sich die Konfigurationsressource der Vertrauensstellung befindet gespeichert ist. Der Standardspeicherort istglobal
.
API
Stellen Sie eine
POST
-Anfrage an die MethodetrustConfigs.create
:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.TRUST_CONFIG_ID
: eine eindeutige ID zur Identifizierung Konfigurationsressource der Vertrauensstellung.DESCRIPTION
: eine aussagekräftige Beschreibung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: der vollständige PEM Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll . Dieser Wert ist optional.ALLOWLISTED_CERT
: das Zertifikat, das hinzugefügt wird Eine Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.
Konfiguration der Vertrauensstellung aktualisieren
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor
) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen:
So aktualisieren Sie eine Konfiguration der Vertrauensstellung:
Aktualisierte YAML-Datei für die Konfiguration der Vertrauensstellung erstellen, in der die neue Vertrauensstellung angegeben ist config-Parameter fest. Die Datei hat das folgende Format:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: eine eindeutige ID zur Identifizierung Konfigurationsressource der Vertrauensstellung.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: der vollständige PEM Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll . Dieser Wert ist optional.ALLOWLISTED_CERT1
undALLOWLISTED_CERT2
: die Zertifikate, die einem Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.
Neue Konfigurationsdatei für Vertrauensstellung in den Zertifikatmanager importieren durch den Namen der vorhandenen Konfiguration der Vertrauensstellung:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs import
aus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Zielvertrauensstellung config-Ressource an.PROJECT_ID
: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE
: der vollständige Pfad und Name der hat die Konfigurationsdatei der Vertrauensstellung aktualisiert.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.
API
Stellen Sie eine
PATCH
-Anfrage an die MethodetrustConfigs.update
:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.TRUST_CONFIG_ID
: die ID der Konfiguration der Zielvertrauensstellung .DESCRIPTION
: eine aussagekräftige Beschreibung Konfigurationsressource der Vertrauensstellung. Diese Beschreibung ist optional.CERTIFICATE_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD
: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll config-Ressource an. Dieser Wert ist optional.ALLOWLISTED_CERT
: das Zertifikat, das hinzugefügt wird Eine Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.
Konfigurationen der Vertrauensstellung auflisten
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer
) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor
) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen:
Führen Sie die folgenden Schritte aus, um die konfigurierten Konfigurationen der Vertrauensstellung aufzulisten.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen der Vertrauensstellung.
Auf dem Tab wird eine Liste der konfigurierten Ressourcen der Konfiguration der Vertrauensstellung angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs list
aus:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Ersetzen Sie Folgendes:
FILTER
: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Filterbeispiele für Zertifikatmanager, siehe Listenergebnisse sortieren und filtern in der Dokumentation zum Cloud Key Management Service.
- Labels und Erstellungszeit:
PAGE_SIZE
: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT
: Die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.SORT_BY
: eine durch Kommas getrennte Liste vonname
-Feldern, durch die werden die zurückgegebenen Ergebnisse sortiert.Die Standardsortierreihenfolge ist aufsteigend. Für die absteigende Sortierreihenfolge Stellen Sie dem ausgewählten Feld eine Tilde (
~
) voran.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.
API
Stellen Sie eine GET
-Anfrage an die Methode trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.FILTER
: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.PAGE_SIZE
: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY
: eine durch Kommas getrennte Liste von Feldnamen, nach denen werden die zurückgegebenen Ergebnisse sortiert.Die Standardsortierreihenfolge ist aufsteigend. Für die absteigende Sortierreihenfolge: Präfix Das ausgewählte Feld mit einer Tilde (
~
) versehen.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.
Konfigurationen der Vertrauensstellung ansehen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer
) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor
) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner
)
Weitere Informationen finden Sie unter Rollen und Berechtigungen:
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung aufzurufen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen der Vertrauensstellung. Auf dem Tab wird eine Liste konfigurierte Konfigurationsressourcen der Vertrauensstellung.
Wählen Sie die Konfigurationsressource der Vertrauensstellung aus, um die zugehörigen Details anzusehen.
Auf der Seite Details der Vertrauenskonfiguration werden detaillierte Informationen zur ausgewählten Konfiguration der Vertrauensstellung angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs describe
aus:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Konfiguration der Zielvertrauensstellung.LOCATION
: Region, in der sich die Konfigurationsressource der Vertrauensstellung befindet gespeichert ist. Der Standardspeicherort istglobal
.
API
Stellen Sie eine GET
-Anfrage an die Methode trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_ID
: die ID der Konfiguration der Zielvertrauensstellung.LOCATION
: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.
Konfiguration der Vertrauensstellung löschen
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Zertifikatmanager)
(roles/certificatemanager.owner
) für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen:
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung zu löschen.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs delete
aus:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID
: die ID der Zielvertrauensstellung config.LOCATION
: die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort istglobal
.
API
Stellen Sie eine DELETE
-Anfrage an die Methode trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID
: die ID des Google Cloud-Zielprojekts.LOCATION
: Region, in der sich die Konfigurationsressource der Vertrauensstellung befindet gespeichert ist. Der Standardspeicherort istglobal
.TRUST_CONFIG_ID
: die ID der Konfiguration der Zielvertrauensstellung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen der Zertifikatsausstellung verwalten