Auf dieser Seite wird beschrieben, wie Sie Konfigurationen von Vertrauensstellungen zur Verwendung in Szenarien der gegenseitigen TLS-Authentifizierung (mTLS) erstellen und verwalten.
Weitere Informationen finden Sie in den folgenden Ressourcen:
Weitere Informationen zu Konfigurationen von Vertrauensstellungen, Ankern und Zwischenzertifikaten finden Sie unter Konfigurationen von Vertrauensstellungen in Funktionsweise des Zertifikatmanagers.
Weitere Informationen zu mTLS finden Sie in der Dokumentation zu Cloud Load Balancing unter Gegenseitige TLS-Authentifizierung.
Informationen zur Konfiguration von Vertrauensstellungen zum Konfigurieren von mTLS auf Ihrem Zielproxy finden Sie auf den folgenden Seiten in der Dokumentation zu Cloud Load Balancing:
Bei der gcloud-Anleitung auf dieser Seite wird davon ausgegangen, dass Sie Cloud Shell oder eine andere Umgebung verwenden, in der bash installiert ist.
Weitere Informationen zu den auf dieser Seite verwendeten gcloud-Befehlen finden Sie in der Referenz zur Certificate Manager CLI.
Vertrauenskonfiguration erstellen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung zu erstellen:
Erstellen Sie eine YAML-Datei für die Konfiguration der Vertrauensstellung, in der die Konfigurationsparameter der Vertrauensstellung angegeben sind. Die Datei hat folgendes Format:
trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.CERTIFICATE_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT1undALLOWLISTED_CERT2: das Zertifikat auf der Zulassungsliste, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.Sie können mehrere Trust-Anchors und Zwischenzertifikate angeben, indem Sie mehrere Instanzen des Felds
pemCertificate(ein Zertifikat pro Instanz) in den entsprechenden Abschnitten der Ressourcenspezifikation der Vertrauenskonfiguration verwenden.Ein Zertifikat auf der Zulassungsliste stellt jedes Zertifikat dar, das in der Konfiguration der Vertrauensstellung gekapselt werden kann, sodass sie immer als gültig angesehen werden. Sie können mehrere Zertifikate auf der Zulassungsliste angeben, indem Sie mehrere Instanzen des Felds
pemCertificatemit einem Zertifikat pro Instanz in der Konfiguration der Vertrauensstellung verwenden. Sie benötigen keinen Trust Store, wenn Sie Zertifikate auf der Zulassungsliste verwenden. Ein Zertifikat auf der Zulassungsliste gilt immer als gültig, solange es geparst werden kann, ein Nachweis über den Besitz eines privaten Schlüssels vorliegt und Einschränkungen für das SAN-Feld des Zertifikats erfüllt sind. Abgelaufene Zertifikate gelten auch als gültig, wenn sie auf die Zulassungsliste gesetzt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.
Importieren Sie die Konfigurationsdatei der Vertrauensstellung in den Zertifikatmanager:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs importaus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE: der vollständige Pfad und Name der YAML-Datei für die Vertrauenskonfiguration, die Sie in Schritt 1 erstellt haben.LOCATION: Die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine
POST-Anfrage an die MethodetrustConfigs.create:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.DESCRIPTION: eine aussagekräftige Beschreibung für diese Konfigurationsressource der Vertrauensstellung. Dieser Wert ist optional.CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT: das Zertifikat auf der Zulassungsliste, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.
Konfiguration der Vertrauensstellung aktualisieren
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung zu aktualisieren:
Erstellen Sie eine aktualisierte YAML-Datei für die Konfiguration der Vertrauensstellung, in der die neuen Konfigurationsparameter der Vertrauensstellung angegeben sind. Die Datei hat folgendes Format:
name: "TRUST_CONFIG_ID" trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: eine eindeutige ID, die diese Vertrauenskonfigurationsressource identifiziert.CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT1undALLOWLISTED_CERT1: das Zertifikat auf der Zulassungsliste, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.
Importieren Sie die neue Konfigurationsdatei der Vertrauensstellung mit dem Ressourcennamen der vorhandenen Konfiguration der Vertrauensstellung in den Zertifikatmanager:
gcloud
Führen Sie den Befehl
gcloud certificate-manager trust-configs importaus:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATIONErsetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Konfigurationsressource der Zielvertrauensangabe.PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_FILE: der vollständige Pfad und Name der aktualisierten Konfigurationsdatei der Vertrauensstellung.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine
PATCH-Anfrage an die MethodetrustConfigs.update:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: die ID der Konfigurationsressource der Zielvertrauensangabe.DESCRIPTION: eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Diese Beschreibung ist optional.CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll.INTER_CERT_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für diese Konfigurationsressource der Vertrauenskonfiguration verwendet werden soll. Dieser Wert ist optional.ALLOWLISTED_CERT: das Zertifikat auf der Zulassungsliste, das für diese Konfigurationsressource der Vertrauensstellung verwendet werden soll. Dieser Wert ist optional.
Konfigurationen von Vertrauensstellungen auflisten
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um die konfigurierten Konfigurationen der Vertrauensstellungen aufzulisten.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen vertrauen.
Auf dem Tab wird eine Liste der konfigurierten Ressourcen der Konfiguration von Vertrauensstellungen angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs list aus:
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
Ersetzen Sie Folgendes:
FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:
- Labels und Erstellungszeit:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie unter Listenergebnisse sortieren und filtern in der Dokumentation zu Cloud Key Management Service.
- Labels und Erstellungszeit:
PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT: die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste vonname-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden.Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem ausgewählten Feld eine Tilde (
~) voran.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine GET-Anfrage an die Methode trustConfigs.list:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte einschränkt.PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste von Feldnamen, nach denen die zurückgegebenen Ergebnisse sortiert werden.Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie eine absteigende Sortierreihenfolge verwenden möchten, stellen Sie dem ausgewählten Feld eine Tilde (
~) voran.LOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
Konfigurationen der Vertrauensstellung ansehen
Zum Ausführen dieser Aufgabe benötigen Sie eine der folgenden Rollen für das Google Cloud-Zielprojekt:
- Zertifikatmanager-Betrachter (
roles/certificatemanager.viewer) - Zertifikatmanager-Bearbeiter (
roles/certificatemanager.editor) - Zertifikatmanager-Inhaber (
roles/certificatemanager.owner)
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung anzusehen.
Console
Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.
Klicken Sie auf den Tab Konfigurationen vertrauen. Auf dem Tab wird eine Liste der konfigurierten Ressourcen der Konfiguration von Vertrauensstellungen angezeigt.
Wählen Sie die Konfigurationsressource der Vertrauensstellung aus, um ihre Details anzusehen.
Auf der Seite Details der Konfiguration der Vertrauensstellung werden detaillierte Informationen zur ausgewählten Konfiguration der Vertrauensstellung angezeigt.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs describe aus:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Konfiguration der Ziel-TrustLOCATION: Die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine GET-Anfrage an die Methode trustConfigs.get:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.TRUST_CONFIG_ID: die ID der Konfiguration der Ziel-TrustLOCATION: Das Standortattribut gibt die Region an, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
Konfiguration der Vertrauensstellung löschen
Zum Ausführen dieser Aufgabe benötigen Sie die Rolle „Zertifikatmanager-Inhaber“ (roles/certificatemanager.owner) für das Google Cloud-Zielprojekt.
Weitere Informationen finden Sie unter Rollen und Berechtigungen.
Führen Sie die folgenden Schritte aus, um eine Konfiguration der Vertrauensstellung zu löschen.
gcloud
Führen Sie den Befehl gcloud certificate-manager trust-configs delete aus:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
Ersetzen Sie Folgendes:
TRUST_CONFIG_ID: die ID der Konfiguration der Ziel-TrustLOCATION: Die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.
API
Stellen Sie eine DELETE-Anfrage an die Methode trustConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ersetzen Sie Folgendes:
PROJECT_ID: die ID des Google Cloud-Zielprojekts.LOCATION: Die Region, in der die Konfigurationsressource der Vertrauensstellung gespeichert ist. Der Standardspeicherort istglobal.TRUST_CONFIG_ID: die ID der Konfiguration der Ziel-Trust
Nächste Schritte
- Zertifikate verwalten
- Zertifikatszuordnungen verwalten
- Einträge in der Zertifikatszuordnung verwalten
- DNS-Autorisierungen verwalten
- Konfigurationen für die Zertifikatsausstellung verwalten