Diese Seite wurde von der Cloud Translation API übersetzt.

Gegenseitiges TLS mit privater CA einrichten

Diese Seite enthält eine Anleitung zum Erstellen einer privaten Zertifizierungsstelle (Certificate Authority, CA) mithilfe des Certificate Authority Service und zum Hochladen der Zertifikate in eine TrustConfig-Ressource von Zertifikatmanager.

Sie erstellen auch die Netzwerksicherheitsressourcen, die zum Konfigurieren von gegenseitigem TLS für Application Load Balancer erforderlich sind.

Hinweise

Lesen Sie die Übersicht zu gegenseitigem TLS.
Installieren Sie die Google Cloud CLI. Eine vollständige Übersicht über das Tool finden Sie im Leitfaden zur gcloud CLI. Befehle für das Load-Balancing finden Sie im Referenzhandbuch für die API und gcloud.

Wenn Sie die gcloud CLI noch nicht ausgeführt haben, führen Sie zuerst gcloud init zur Authentifizierung aus.
Sie sollten wissen, wie Sie CA-Pools erstellen.
Wenn Sie einen globalen externen Application Load Balancer oder einen klassischen Application Load Balancer verwenden, müssen Sie einen Load Balancer mit einem der folgenden unterstützten Back-Ends eingerichtet haben:
- Back-Ends von VM-Instanzgruppen
- Cloud Storage-Buckets (nur unterstützt, wenn zusätzlich zum Backend-Bucket mindestens ein Backend-Dienst mit dem Load Balancer verknüpft ist)
- Cloud Run, App Engine oder Cloud Run Functions
- Hybridkonnektivität
Wenn Sie einen regionalen externen Application Load Balancer, einen regionenübergreifenden internen Application Load Balancer oder einen regionalen internen Application Load Balancer verwenden, müssen Sie einen Load Balancer mit einem der folgenden unterstützten Backends einrichten:
- Back-Ends von VM-Instanzgruppen
- Cloud Run
- Hybridkonnektivität

Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen dieser Anleitung benötigen:

Zum Erstellen von Load-Balancer-Ressourcen wie TargetHTTPProxy: Compute Load Balancer Admin (roles/compute.loadBalancerAdmin)
So verwenden Sie Zertifikatmanager-Ressourcen: Zertifikatmanager-Inhaber (roles/certificatemanager.owner)
So erstellen Sie Sicherheits- und Netzwerkkomponenten: Compute-Netzwerkadministrator (roles/compute.networkAdmin) und Compute-Sicherheitsadministrator (roles/compute.securityAdmin)
Zum Erstellen eines Projekts (optional): Project Creator (roles/resourcemanager.projectCreator)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Stamm-CA im CA-Pool erstellen

Führen Sie die folgenden Schritte aus, um eine Root-CA im privaten CA-Pool zu erstellen:

Verwenden Sie den Befehl gcloud privateca pools create, um einen CA-Pool zu erstellen:
```
gcloud privateca pools create CA_POOL \
   --location=us-central1
```
Ersetzen Sie CA_POOL durch die ID oder den Namen des übergeordneten CA-Pools.
Verwenden Sie zum Erstellen einer Stamm-CA im CA-Pool den Befehl gcloud privateca roots create:
```
gcloud privateca roots create CA_ROOT \
   --pool=CA_POOL \
   --subject="CN=my-ca, O=Test LLC" \
   --location=us-central1
```
Ersetzen Sie Folgendes:
- CA_ROOT: die ID oder der Name der Stammzertifizierungsstelle.
- CA_POOL: die ID oder der Name des übergeordneten CA-Pools.
Verwenden Sie zum Beschreiben der neuen CA und zum Erstellen der Datei root.cert den Befehl gcloud privateca roots describe:
```
gcloud privateca roots describe CA_ROOT \
   --pool=CA_POOL \
   --location=us-central1 \
   --format='value(pemCaCertificates)' > root.cert
```
Ersetzen Sie Folgendes:
- CA_ROOT: die ID oder der Name der privaten Zertifizierungsstelle.
- CA_POOL: die ID oder der Name des übergeordneten CA-Pools.
Formatieren Sie das Zertifikat in einer einzelnen Zeile und speichern Sie es in einer Umgebungsvariablen, damit es in der YAML-Datei der Trust-Konfiguration referenziert werden kann.
```
export ROOT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
```
Hier finden Sie weitere Informationen:
- CA-Pool erstellen
- Stamm-CA erstellen

TrustConfig-Ressource erstellen

Eine Vertrauenskonfiguration ist eine Ressource, die Ihre Konfiguration der Public-Key-Infrastruktur (PKI) im Zertifikatmanager darstellt.

So erstellen Sie eine Vertrauenskonfiguratierungsressource:

Console

Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

Zum Zertifikatmanager
Klicken Sie auf dem Tab Trust Configs (Trust Config hinzufügen).
Geben Sie einen Namen für die Konfiguration ein.
Wählen Sie unter Standort die Option Global oder Regional aus.

Der Speicherort gibt an, wo die Trust-Konfigurationsressource gespeichert ist. Erstellen Sie für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer eine globale Trust-Konfigurationsressource. Erstellen Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer eine regionale Vertrauenskonfigurationsressource.

Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.
Klicken Sie im Bereich Trust Store auf Trust Anchor hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats.
Klicken Sie auf Hinzufügen.
Klicken Sie auf Erstellen.

Prüfen Sie, ob die neue Trust-Konfigurationsressource in der Liste der Konfigurationen angezeigt wird.

gcloud

Erstellen Sie eine YAML-Datei für die Vertrauensstellung (trust_config.yaml), in der die Parameter für die Vertrauensstellung angegeben sind. In diesem Beispiel ist die Trust-Konfigurationsressource ein Trust Store mit einem einzelnen Trust Anchor, der ein Stammzertifikat darstellt. Dieses Root-Zertifikat wird mit der privaten Zertifizierungsstelle generiert.
```
cat << EOF > trust_config.yaml
name: TRUST_CONFIG_NAME
trustStores:
- trustAnchors:
    - pemCertificate: "${ROOT?}"
EOF
```
Verwenden Sie den Befehl gcloud certificate-manager trust-configs import, um die YAML-Datei für die Vertrauensstellung zu importieren:
global
Geben Sie für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer global als Speicherort der Trust-Konfigurationsressource an.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=global
```
Ersetzen Sie Folgendes:
- TRUST_CONFIG_NAME: der Name der Vertrauenskonfigurationsressource.
regional
Geben Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer die Region an, in der die Trust-Konfigurationsressource gespeichert ist.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
    --source=trust_config.yaml \
    --location=LOCATION
```
Ersetzen Sie Folgendes:
- TRUST_CONFIG_NAME: der Name der Vertrauenskonfigurationsressource.
- LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

Clientauthentifizierungsressource erstellen

Mit einer Clientauthentifizierungsressource (auch ServerTLSPolicy genannt) können Sie den serverseitigen TLS-Modus und die Trust-Konfigurationsressource angeben, die bei der Validierung von Clientzertifikaten verwendet werden soll. Wenn der Client dem Load Balancer ein ungültiges oder kein Zertifikat vorlegt, gibt der clientValidationMode an, wie mit der Clientverbindung umgegangen wird. Weitere Informationen finden Sie unter mTLS-Client-Validierungsmodi.

Wenn clientValidationMode auf ALLOW_INVALID_OR_MISSING_CLIENT_CERT festgelegt ist, werden alle Anfragen an das Backend übergeben, auch wenn die Validierung fehlschlägt oder das Clientzertifikat fehlt.
Wenn clientValidationMode auf REJECT_INVALID festgelegt ist, werden nur Anfragen an das Backend weitergeleitet, die ein Clientzertifikat enthalten, das anhand einer TrustConfig-Ressource validiert werden kann.

So erstellen Sie eine Ressource für die Clientauthentifizierung (ServerTlsPolicy):

Console

Rufen Sie in der Google Cloud Console die Seite Clientauthentifizierung auf.

Zu „Clientauthentifizierung“
Klicken Sie auf Clientauthentifizierung erstellen.
Geben Sie einen Namen für die Clientauthentifizierungsressource ein.
Wählen Sie unter Standort die Option Global oder Regional aus.

Legen Sie für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer den Standort auf „global“ fest. Legen Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer die Region fest, in der der Load Balancer konfiguriert ist.
Wählen Sie für Client Authentication mode (Clientauthentifizierungsmodus) die Option Load balancing (Load Balancing) aus.
Wählen Sie einen Clientvalidierungsmodus aus.
Wählen Sie die zuvor erstellte Konfigurationsressource für die Vertrauensstellung aus.
Klicken Sie auf Erstellen.

Prüfen Sie, ob die Clientauthentifizierung (ServerTlsPolicy) angezeigt wird.

gcloud

Wählen Sie je nach gewünschter Verarbeitung der Verbindung eine der folgenden Optionen aus, um die Clientauthentifizierungsressource (ServerTlsPolicy) im YAML-Format zu definieren.
- Option 1: clientValidationMode ist auf ALLOW_INVALID_OR_MISSING_CLIENT_CERT festgelegt.
  global
  Erstellen Sie für globale externe, klassische und regionenübergreifende interne Application Load Balancer eine YAML-Datei, in der der Client-Validierungsmodus und eine globale Trust-Konfigurationsressource deklarativ angegeben werden:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
  regional
  Erstellen Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer eine YAML-Datei, in der der Modus für die Clientüberprüfung und eine regionale Trust-Konfigurationsressource deklarativ angegeben werden:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
- Option 2: clientValidationMode ist auf REJECT_INVALID festgelegt.
  global
  Erstellen Sie für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer eine YAML-Datei, in der der Client-Validierungsmodus und eine globale Trust-Konfigurationsressource deklarativ angegeben werden:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
  regional
  Erstellen Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer eine YAML-Datei, in der der Modus für die Clientüberprüfung und eine regionale Vertrauens-Konfigurationsressource deklarativ angegeben werden:
  cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
  Ersetzen Sie Folgendes:
  
  SERVER_TLS_POLICY_NAME: der Name der Ressource „Client Authentication“ (ServerTlsPolicy).
  
  PROJECT_ID ist die ID Ihres Google Cloud-Projekts.
  
  LOCATION: Verwenden Sie global für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer. Verwenden Sie für regionale externe oder regionale interne Application Load Balancer die Region, in der Sie den Load Balancer konfiguriert haben.
  
  TRUST_CONFIG_NAME: der Name der Vertrauenskonfigurationsressource, die Sie zuvor erstellt haben.
Verwenden Sie den Befehl gcloud network-security server-tls-policies import, um die Ressource „Client Authentication“ (ServerTlsPolicy) zu importieren:
global
Legen Sie für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer das Flag --location auf global fest.
```
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
  --source=server_tls_policy.yaml \
  --location=global
```
Ersetzen Sie Folgendes:

SERVER_TLS_POLICY_NAME: der Name der Clientauthentifizierungsressource (ServerTlsPolicy).
regional
Legen Sie für regionale externe Application Load Balancer und regionale interne Application Load Balancer das Flag --location auf die Region fest, in der der Load Balancer konfiguriert ist.
```
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
  --source=server_tls_policy.yaml \
  --location=LOCATION
```
Ersetzen Sie Folgendes:

SERVER_TLS_POLICY_NAME: der Name der Clientauthentifizierungsressource (ServerTlsPolicy).
Optional: Verwenden Sie den Befehl gcloud network-security server-tls-policies list, um alle Ressourcen der Clientauthentifizierung (ServerTlsPolicies) aufzulisten:
```
gcloud network-security server-tls-policies list \
  --location=LOCATION
```
Ersetzen Sie Folgendes:

LOCATION: Verwenden Sie global für globale externe Application Load Balancer, klassische Application Load Balancer und regionenübergreifende interne Application Load Balancer. Verwenden Sie für regionale externe oder regionale interne Application Load Balancer die Region, in der Sie den Load Balancer konfiguriert haben.

Clientauthentifizierungsressource an den Load Balancer anhängen

Damit die gegenseitige TLS-Authentifizierung funktioniert, müssen Sie nach dem Einrichten des Load Balancers die Ressource „Client Authentication“ (ServerTLSPolicy) an die Ziel-HTTPS-Proxy-Ressource des Load Balancers anhängen.

Console

Rufen Sie in der Google Cloud Console die Seite Load-Balancing auf.

Load-Balancing aufrufen
Wählen Sie in der Liste der Load Balancer den Load Balancer aus, an den Sie die Clientauthentifizierungsressource (ServerTLSPolicy) anhängen möchten.
Klicken Sie auf Bearbeiten.
Maximieren Sie im Bereich Frontend-Konfiguration für ein HTTPS-Frontend den Bereich Erweiterte Funktionen anzeigen.
Wählen Sie in der Liste Client Authentication (Clientauthentifizierung) die Ressource für die Clientauthentifizierung aus.
Klicken Sie auf Fertig.
Klicken Sie auf Aktualisieren.

gcloud

Verwenden Sie den Befehl gcloud compute target-https-proxies list, um alle Ziel-HTTPS-Proxy-Ressourcen in Ihrem Projekt aufzulisten:
```
gcloud compute target-https-proxies list
```
Notieren Sie sich den Namen des HTTPS-Ziel-Proxys, um die ServerTLSPolicy-Ressource anzuhängen. Dieser Name wird in den folgenden Schritten als TARGET_HTTPS_PROXY_NAME bezeichnet.
Verwenden Sie den Befehl gcloud compute target-https-proxies export, um die Konfiguration eines Ziel-HTTPS-Proxys in eine Datei zu exportieren:
global
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --global
Ersetzen Sie Folgendes:
- TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
- TARGET_PROXY_FILENAME: der Name der Konfigurationsdatei des Zielproxies im YAML-Format. Beispiel: mtls_target_proxy.yaml.
regional
gcloud compute target-https-proxies export TARGET_HTTPS_PROXY_NAME \ --destination=TARGET_PROXY_FILENAME \ --region=REGION
Ersetzen Sie Folgendes:
- TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
- TARGET_PROXY_FILENAME: der Name der Konfigurationsdatei des Zielproxies im YAML-Format. z. B. mtls_target_proxy.yaml.
- REGION: die Region, in der Sie den Load Balancer konfiguriert haben.
Verwenden Sie den Befehl gcloud network-security server-tls-policies list, um alle Ressourcen der Clientauthentifizierung (ServerTlsPolicy) aufzulisten:
```
gcloud network-security server-tls-policies list \
    --location=LOCATION
```
Ersetzen Sie Folgendes:

LOCATION: Verwenden Sie global für den regionenübergreifenden internen Application Load Balancer, den globalen externen Application Load Balancer oder den klassischen Application Load Balancer. Verwenden Sie für regionale externe oder regionale interne Application Load Balancer die Region, in der Sie den Load Balancer konfiguriert haben.

Notieren Sie sich den Namen der Clientauthentifizierungsressource (ServerTLSPolicy), um mTLS zu konfigurieren. Dieser Name wird im nächsten Schritt als SERVER_TLS_POLICY_NAME bezeichnet.
Fügen Sie die Clientauthentifizierung (ServerTlsPolicy) dem Ziel-HTTPS-Proxy an.
```
echo "serverTlsPolicy: //networksecurity.googleapis.com/projects/PROJECT_ID/locations/LOCATION/serverTlsPolicies/SERVER_TLS_POLICY_NAME" >> TARGET_PROXY_FILENAME
```
Ersetzen Sie Folgendes:
- PROJECT_ID ist die ID Ihres Google Cloud-Projekts.
- LOCATION: Verwenden Sie global für globale externe Application Load Balancer oder klassische Application Load Balancer sowie regionenübergreifende interne Application Load Balancer. Verwenden Sie für regionale externe oder regionale interne Application Load Balancer die Region, in der Sie den Load Balancer konfiguriert haben.
- SERVER_TLS_POLICY_NAME: der Name der Ressource „Client Authentication“ (ServerTLSPolicy).
- TARGET_PROXY_FILENAME: der Name der Konfigurationsdatei des Zielproxies im YAML-Format.
Verwenden Sie den Befehl gcloud compute target-https-proxies import, um die Konfiguration eines Ziel-HTTPS-Proxys aus einer Datei zu importieren.
global
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --global
Ersetzen Sie Folgendes:
- TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
- TARGET_PROXY_FILENAME: der Name der Konfigurationsdatei des Zielproxies im YAML-Format. Beispiel: mtls_target_proxy.yaml.
regional
gcloud compute target-https-proxies import TARGET_HTTPS_PROXY_NAME \ --source=TARGET_PROXY_FILENAME \ --region=REGION
Ersetzen Sie Folgendes:
- TARGET_HTTPS_PROXY_NAME: der Name des Zielproxys.
- TARGET_PROXY_FILENAME: der Name der Konfigurationsdatei des Zielproxies im YAML-Format. z. B. mtls_target_proxy.yaml.
- REGION: die Region, in der Sie den Load Balancer konfiguriert haben.

Benutzerdefinierte mTLS-Header hinzufügen

Wenn Sie mTLS aktivieren, können Sie Informationen über die mTLS-Verbindung mithilfe von benutzerdefinierten Headern übergeben. Sie können auch das Logging aktivieren, damit mTLS-Verbindungsfehler in den Logs erfasst werden.

Backend-Diensten benutzerdefinierte mTLS-Header hinzufügen

Für globale externe Application Load Balancer oder klassische Application Load Balancer können Sie benutzerdefinierte Header verwenden, um Informationen über die mTLS-Verbindung an Backend-Dienste zu übergeben.

Verwenden Sie den Befehl gcloud compute backend-services list, um alle Backend-Dienste im Projekt aufzulisten:
```
gcloud compute backend-services list
```
Notieren Sie sich den Namen des Backend-Dienstes, um benutzerdefinierte Header und Logging zu aktivieren. Dieser Name wird im folgenden Schritt als BACKEND_SERVICE bezeichnet.

Verwenden Sie den Befehl gcloud compute backend-services update, um den Backend-Dienst zu aktualisieren:

gcloud compute backend-services update BACKEND_SERVICE \
  --global \
  --enable-logging \
  --logging-sample-rate=1 \
  --custom-request-header='X-Client-Cert-Present:{client_cert_present}' \
  --custom-request-header='X-Client-Cert-Chain-Verified:{client_cert_chain_verified}' \
  --custom-request-header='X-Client-Cert-Error:{client_cert_error}' \
  --custom-request-header='X-Client-Cert-Hash:{client_cert_sha256_fingerprint}' \
  --custom-request-header='X-Client-Cert-Serial-Number:{client_cert_serial_number}' \
  --custom-request-header='X-Client-Cert-SPIFFE:{client_cert_spiffe_id}' \
  --custom-request-header='X-Client-Cert-URI-SANs:{client_cert_uri_sans}' \
  --custom-request-header='X-Client-Cert-DNSName-SANs:{client_cert_dnsname_sans}' \
  --custom-request-header='X-Client-Cert-Valid-Not-Before:{client_cert_valid_not_before}' \
  --custom-request-header='X-Client-Cert-Valid-Not-After:{client_cert_valid_not_after}'

Benutzerdefinierte mTLS-Header zur URL-Zuordnung hinzufügen

Für den regionenübergreifenden internen Application Load Balancer, den regionalen externen Application Load Balancer oder den regionalen internen Application Load Balancer können Sie benutzerdefinierte Header verwenden, um Informationen zur mTLS-Verbindung zu übergeben an die URL-Zuordnung.

Verwenden Sie den Befehl gcloud compute url-maps list, um alle URL-Zuordnungen im Projekt aufzulisten:

   gcloud compute url-maps list

Notieren Sie sich den Namen der URL-Zuordnung, um benutzerdefinierte Header und Logging zu aktivieren. Dieser Name wird im folgenden Schritt als URL_MAP_NAME bezeichnet.

global

Verwenden Sie den Befehl gcloud compute url-maps edit, um die URL-Zuordnung für einen regionsübergreifenden internen Application Load Balancer zu bearbeiten:

   gcloud compute url-maps edit URL_MAP_NAME --global

Im Folgenden finden Sie eine YAML-Beispieldatei, die zeigt, wie Variablen in benutzerdefinierten Anfrageheadern (requestHeadersToAdd) verwendet werden. Sie können dieselben Variablen auch zum Senden benutzerdefinierter Antwortheader (responseHeadersToAdd) verwenden.

   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"

regional

Verwenden Sie den Befehl gcloud compute url-maps edit, um die URL-Zuordnung für einen regionalen externen Application Load Balancer oder einen regionalen internen Application Load Balancer zu bearbeiten:

   gcloud compute url-maps edit URL_MAP_NAME --region=REGION

   defaultService: regions/REGION/backendServices/BACKEND_SERVICE_1
      name: regional-lb-map
      region: region/REGION
   headerAction:
      requestHeadersToAdd:
      - headerName: "X-Client-Cert-Present"
        headerValue: "{client_cert_present}"
      - headerName: "X-Client-Cert-Chain-Verified"
        headerValue: "{client_cert_chain_verified}"
      - headerName: "X-Client-Cert-Error"
        headerValue: "{client_cert_error}"
      - headerName: "X-Client-Cert-Hash"
        headerValue: "{client_cert_sha256_fingerprint}"
      - headerName: "X-Client-Cert-Serial-Number"
        headerValue: "{client_cert_serial_number}"
      - headerName: "X-Client-Cert-SPIFFE"
        headerValue: "{client_cert_spiffe_id}"
      - headerName: "X-Client-Cert-URI-SANs"
        headerValue: "{client_cert_uri_sans}"
      - headerName: "X-Client-Cert-DNSName-SANs"
        headerValue: "{client_cert_dnsname_sans}"
      - headerName: "X-Client-Cert-Valid-Not-Before"
        headerValue: "{client_cert_valid_not_before}"
      - headerName: "X-Client-Cert-Valid-Not-After"
        headerValue: "{client_cert_valid_not_after}"
      - headerName: "X-Client-Cert-Issuer-Dn"
        headerValue: "{client_cert_issuer_dn}"
      - headerName: "X-Client-Cert-Subject-Dn"
        headerValue: "{client_cert_subject_dn}"
      - headerName: "X-Client-Cert-Leaf"
        headerValue: "{client_cert_leaf}"
      - headerName: "X-Client-Cert-Chain"
        headerValue: "{client_cert_chain}"

Nächste Schritte

Gegenseitige TLS-Authentifizierung mit signierten Zertifikaten einrichten