Konfigurationen von Vertrauensstellungen verwalten

Auf dieser Seite wird beschrieben, wie Sie Vertrauenskonfiguratioen für die Verwendung in Szenarien der gegenseitigen TLS-Authentifizierung (mTLS) erstellen und verwalten.

Weitere Informationen finden Sie in den folgenden Ressourcen:

Bei den gcloud-Anleitungen auf dieser Seite wird davon ausgegangen, dass Sie Cloud Shell oder eine andere Umgebung verwenden, in der bash installiert ist. Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz für die Certificate Manager-Befehlszeile.

Vertrauenskonfiguration erstellen

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
  • Zertifikatmanager-Inhaber (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

So erstellen Sie eine Vertrauenseinstellung:

  1. Erstellen Sie eine YAML-Datei für die Konfiguration der Vertrauensstellung, in der die Parameter der Konfiguration der Vertrauensstellung angegeben sind. Die Datei hat das folgende Format:

    trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: Eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Vertrauenskonfigurationsressource verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.

    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.

      Sie können mehrere Vertrauensanker und Zwischenzertifikate angeben, indem Sie in den jeweiligen Abschnitten der Trust-Konfigurationsressourcenspezifikation mehrere Instanzen des Felds pemCertificate verwenden, jeweils ein Zertifikat pro Instanz.

      Ein Zertifikat, das einer Zulassungsliste hinzugefügt wird, stellt jedes Zertifikat dar, kann in die Konfiguration der Vertrauensstellung gekapselt werden, sodass sie immer als gültig sein. Um mehrere Zertifikate in einer Zulassungsliste im Konfiguration der Vertrauensstellung, mehrere Instanzen des Felds pemCertificate verwenden, eine Zertifikat pro Instanz. Sie benötigen keinen Trust Store, Zertifikate, die einer Zulassungsliste hinzugefügt wurden. Ein Zertifikat, das einer Zulassungsliste hinzugefügt wird, gilt immer als gültig, solange es parsbar ist, der Besitz des privaten Schlüssels nachgewiesen wurde und die Einschränkungen für das SAN-Feld des Zertifikats erfüllt sind. Abgelaufene Zertifikate sind ebenfalls wenn sie auf eine Zulassungsliste gesetzt werden. Weitere Informationen zum PEM-codierten Format, siehe RFC 7468.

  2. Importieren Sie die Konfigurationsdatei der Vertrauensstellung in den Zertifikatmanager:

    gcloud

    Führen Sie den Befehl gcloud certificate-manager trust-configs import aus:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
   --project=PROJECT_ID \
   --source=TRUST_CONFIG_FILE \
   --location=LOCATION

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: eine eindeutige ID zur Identifizierung Konfigurationsressource der Vertrauensstellung.
    • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
    • TRUST_CONFIG_FILE: den vollständigen Pfad und Namen der YAML-Datei für die Vertrauensstellung, die Sie in Schritt 1 erstellt haben.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

    API

    Stellen Sie eine POST-Anfrage an die Methode trustConfigs.create:

    POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
    • LOCATION: Das Attribut „location“ gibt die Region an, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
    • TRUST_CONFIG_ID: Eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.
    • DESCRIPTION: Eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Dieser Wert ist optional.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: der vollständige PEM Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll . Dieser Wert ist optional.
    • ALLOWLISTED_CERT: das Zertifikat, das hinzugefügt wird Eine Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.

Konfiguration der Vertrauensstellung aktualisieren

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
  • Zertifikatmanager-Inhaber (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen:

So aktualisieren Sie eine Vertrauenskonfiguration:

  1. Erstellen Sie eine aktualisierte YAML-Datei für die Vertrauensstellung, in der die neuen Parameter für die Vertrauensstellung angegeben sind. Die Datei hat das folgende Format:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: Eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einem Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.

  2. Importieren Sie die neue Vertrauenskonfigurationsdatei in den Zertifikatsmanager unter dem Namen der vorhandenen Vertrauenskonfigurationsressource:

    gcloud

    Führen Sie den Befehl gcloud certificate-manager trust-configs import aus:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Zielressource der Vertrauenskonfiguration.
    • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
    • TRUST_CONFIG_FILE: der vollständige Pfad und Name der aktualisierten Vertrauenskonfigurationsdatei.
    • LOCATION: Das Attribut „location“ gibt die Region an, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

    API

    Stellen Sie eine PATCH-Anfrage an die Methode trustConfigs.update:

    PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
 {
   "description": "DESCRIPTION",
   "trust_stores": {
     "trust_anchors": [{
       "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
     }],
     "intermediate_cas": [{
       "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
     }],
   },
   "allowlistedCertificates": [{
     "pem_certificate": "ALLOWLISTED_CERT"
  }],
 }

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
    • LOCATION: Das Attribut „location“ gibt die Region an, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
    • TRUST_CONFIG_ID: die ID der Zielressource der Vertrauenskonfiguration.
    • DESCRIPTION: eine aussagekräftige Beschreibung Konfigurationsressource der Vertrauensstellung. Diese Beschreibung ist optional.
    • CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfiguration der Vertrauensstellung verwendet werden soll config-Ressource an. Dieser Wert ist optional.
    • ALLOWLISTED_CERT: das Zertifikat, das hinzugefügt wird Eine Zulassungsliste zur Verwendung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.

Konfigurationen von Vertrauensstellungen auflisten

Für diese Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel-Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter (roles/certificatemanager.viewer)
  • Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
  • Inhaber des Zertifikatsmanagers (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen:

Führen Sie die folgenden Schritte aus, um die konfigurierten Konfigurationen der Vertrauensstellung aufzulisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Gehen Sie zum Zertifikatmanager.

  2. Klicken Sie auf den Tab Konfigurationen der Vertrauensstellung.

    Der Tab enthält eine Liste der konfigurierten Ressourcen für Konfigurationen von Vertrauensstellungen.

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs list aus:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • FILTER: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Beispiele für Filter, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden.

    Die Standardsortierreihenfolge ist aufsteigend. Für die absteigende Sortierreihenfolge Stellen Sie dem ausgewählten Feld eine Tilde (~) voran.

  • LOCATION: Das Standortattribut gibt an, Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Standardmäßiger Standort ist global.

API

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
  • FILTER: ein Ausdruck, der die zurückgegebene bestimmten Werten zugeordnet werden.
  • PAGE_SIZE: Die Anzahl der pro Seite zurückzugebenden Ergebnisse.

  • SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen werden die zurückgegebenen Ergebnisse sortiert.

    Die Standardsortierreihenfolge ist aufsteigend. Für absteigende Sortierreihenfolge: Präfix Das ausgewählte Feld mit einer Tilde (~) wird angezeigt.

  • LOCATION: Das Attribut „location“ gibt die Region an, in der die Vertrauenskonfigurationsressource gespeichert ist. Standardmäßiger Standort ist global.

Konfigurationen der Vertrauensstellung ansehen

Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Ziel Google Cloud-Projekt:

  • Zertifikatmanager-Betrachter (roles/certificatemanager.viewer)
  • Zertifikatmanager-Bearbeiter (roles/certificatemanager.editor)
  • Zertifikatmanager-Inhaber (roles/certificatemanager.owner)

Weitere Informationen finden Sie unter Rollen und Berechtigungen.

Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung aufzurufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

    Gehen Sie zum Zertifikatmanager.

  2. Klicken Sie auf den Tab Trust Configs (Vertrauenswürdige Konfigurationen). Auf dem Tab wird eine Liste konfigurierte Konfigurationsressourcen der Vertrauensstellung.

  3. Wählen Sie die Konfigurationsressource der Vertrauensstellung aus, um die zugehörigen Details anzusehen.

    Auf der Seite Details zur Vertrauensstellungskonfiguration finden Sie detaillierte Informationen zur ausgewählten Vertrauensstellungskonfiguration.

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs describe aus:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Konfiguration der Zielvertrauensstellung.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

API

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud-Zielprojekts.
  • TRUST_CONFIG_ID: die ID der Ziel-Vertrauenskonfiguration.
  • LOCATION: Das Attribut „location“ gibt die Region an, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Konfiguration der Vertrauensstellung löschen

Für diese Aufgabe benötigen Sie die Rolle „Inhaber des Zertifikatsmanagers“ (roles/certificatemanager.owner) für das Ziel-Google Cloud-Projekt.

Weitere Informationen finden Sie unter Rollen und Berechtigungen:

So löschen Sie eine Vertrauensstellungskonfiguration:

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs delete aus:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Zielvertrauensstellung config.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

API

Stellen Sie eine DELETE-Anfrage an die Methode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Ziel-Google Cloud-Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Ziel-Vertrauenskonfiguration.

Nächste Schritte