Auf dieser Seite wird beschrieben, wie Sie Konfigurationen von Vertrauensstellungen zur Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung (mTLS) erstellen und verwalten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen zu Konfigurationen, Trust-Anchors und Zwischenzertifikaten finden Sie unter Konfiguration von Vertrauensstellungen in Funktionsweise des Zertifikatmanagers.
Weitere Informationen zu mTLS finden Sie unter Gegenseitige TLS-Authentifizierung in der Dokumentation zu Cloud Load Balancing.
Informationen dazu, wie Sie mTLS auf Ihrem Zielproxy mit einer Konfiguration der Vertrauensstellung konfigurieren, finden Sie auf einer der folgenden Seiten in der Dokumentation zu Cloud Load Balancing:
Bei der gcloud-Anleitung auf dieser Seite wird davon ausgegangen, dass Sie Cloud Shell oder eine andere Umgebung verwenden, in der bash installiert ist.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Zertifikatmanager-Befehlszeile.
Vertrauenskonfiguration erstellen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
So erstellen Sie eine Konfiguration der Vertrauensstellung:
Erstellen Sie eine YAML-Datei für die Konfiguration der Vertrauensstellung, in der die Parameter der Konfiguration der Vertrauensstellung angegeben sind. Die Datei hat das folgende Format:
trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: Eine eindeutige ID, die diese Konfigurationsressource der Vertrauensstellung identifiziert.CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT1undALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, um diese Konfigurationsressource der Vertrauensstellung zu verwenden. Dieser Wert ist optional.Sie können mehrere Trust-Anchors und Zwischenzertifikate angeben. Dazu verwenden Sie mehrere Instanzen des Felds
pemCertificate(ein Zertifikat pro Instanz) in den entsprechenden Abschnitten der Ressourcenspezifikation der Vertrauenskonfiguration.Ein Zertifikat, das auf eine Zulassungsliste gesetzt wird, stellt jedes Zertifikat dar, das in der Konfiguration der Vertrauensstellung gekapselt werden kann, sodass es immer als gültig angesehen wird. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste in der Vertrauenskonfiguration kapseln möchten, verwenden Sie mehrere Instanzen des Felds
pemCertificate(ein Zertifikat pro Instanz). Sie benötigen keinen Trust Store, wenn Sie Zertifikate verwenden, die einer Zulassungsliste hinzugefügt wurden. Ein Zertifikat, das einer Zulassungsliste hinzugefügt wird, gilt immer als gültig, solange das Zertifikat geparst werden kann, der Besitz eines privaten Schlüssels nachweisbar ist und die Einschränkungen für das SAN-Feld des Zertifikats erfüllt sind. Abgelaufene Zertifikate gelten auch als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.
Importieren Sie die Konfigurationsdatei der Vertrauensstellung in den Zertifikatmanager:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs importaus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: Eine eindeutige ID, die diese Konfigurationsressource der Vertrauensstellung identifiziert.PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE: der vollständige Pfad und Name der YAML-Datei für die Vertrauenskonfiguration, die Sie in Schritt 1 erstellt haben.LOCATION: Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine
POST-Anfrage an die MethodetrustConfigs.create:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: Eine eindeutige ID, die diese Konfigurationsressource der Vertrauensstellung identifiziert.DESCRIPTION: Eine aussagekräftige Beschreibung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT: das Zertifikat, das einer Zulassungsliste für diese Konfigurationsressource der Vertrauensstellung hinzugefügt wurde. Dieser Wert ist optional.
Konfiguration der Vertrauensstellung aktualisieren
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
So aktualisieren Sie eine Konfiguration der Vertrauensstellung:
Erstellen Sie eine aktualisierte YAML-Datei für die Konfiguration der Vertrauensstellung, in der die neuen Parameter der Konfiguration der Vertrauensstellung angegeben sind. Die Datei hat das folgende Format:
name: "TRUST_CONFIG_ID" trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: Eine eindeutige ID, die diese Konfigurationsressource der Vertrauensstellung identifiziert.CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT1undALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, um diese Konfigurationsressource der Vertrauensstellung zu verwenden. Dieser Wert ist optional.
Importieren Sie die neue Konfigurationsdatei der Vertrauensstellung mit dem Namen der vorhandenen Konfiguration der Vertrauensstellung in den Zertifikatmanager:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs importaus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATIONErsetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Zielkonfigurationsressource der Vertrauensstellung.PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE: der vollständige Pfad und Name der aktualisierten Konfigurationsdatei der Vertrauensstellung.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.
API
Stellen Sie eine
PATCH-Anfrage an die MethodetrustConfigs.update:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: die ID der Konfigurationsressource der Zielvertrauensstellung.DESCRIPTION: Eine aussagekräftige Beschreibung für diese Konfigurationsressource der Vertrauensstellung. Diese Beschreibung ist optional.CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauenskonfiguration verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT: das Zertifikat, das einer Zulassungsliste für diese Konfigurationsressource der Vertrauensstellung hinzugefügt wurde. Dieser Wert ist optional.
Konfigurationen der Vertrauensstellung auflisten
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um die konfigurierten Konfigurationen der Vertrauensstellung aufzulisten.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen der Vertrauensstellung.
Auf dem Tab wird eine Liste der konfigurierten Ressourcen der Konfiguration der Vertrauensstellung angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs list aus:
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
Ersetzen Sie Folgendes:
FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Dokumentation zum Cloud Key Management Service unter Listenergebnisse sortieren und filtern.
- Labels und Erstellungszeit:
PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT: Die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste vonname-Feldern, nach der die zurückgegebenen Ergebnisse sortiert werden.Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierfolge wünschen, stellen Sie dem ausgewählten Feld eine Tilde (
~) voran.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.
API
Stellen Sie eine GET-Anfrage an die Methode trustConfigs.list:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden.Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge benötigen, stellen Sie dem ausgewählten Feld eine Tilde (
~) voran.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.
Konfigurationen der Vertrauensstellung ansehen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Inhaber des Zertifikatsmanagers (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung aufzurufen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen der Vertrauensstellung. Auf dem Tab wird eine Liste der konfigurierten Konfigurationsressourcen der Vertrauensstellung angezeigt.
Wählen Sie die Konfigurationsressource der Vertrauensstellung aus, um die zugehörigen Details anzusehen.
Auf der Seite Details der Vertrauenskonfiguration werden detaillierte Informationen zur ausgewählten Konfiguration der Vertrauensstellung angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs describe aus:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Konfiguration der Zielvertrauensstellung.LOCATION: Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine GET-Anfrage an die Methode trustConfigs.get:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_ID: die ID der Konfiguration der Zielvertrauensstellung.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert wird. Der Standardspeicherort istglobal.
Konfiguration der Vertrauensstellung löschen
Für diese Aufgabe benötigen Sie die Rolle „Certificate Manager Owner“ (Inhaber des Zertifikats) (roles/certificatemanager.owner) für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung zu löschen.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs delete aus:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Konfiguration der Zielvertrauensstellung.LOCATION: Die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine DELETE-Anfrage an die Methode trustConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: die ID der Konfiguration der Zielvertrauensstellung.
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Zertifikatszuordnungseinträge verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen der Zertifikatsausstellung verwalten