Zertifikat mit der Google Cloud Console ausstellen

In dieser Kurzanleitung erfahren Sie, wie Sie Zertifikate über den Certificate Authority Service mit der Google Cloud Console generieren oder ausstellen.

Informationen zum sicheren Verwalten privater Zertifizierungsstellen (CAs) ohne Bereitstellung oder Wartung der Infrastruktur.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Ausführen der Kurzanleitung benötigen,

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

CA-Pool erstellen

Ein CA-Pool ist eine Sammlung mehrerer CAs. Ein CA-Pool bietet die Möglichkeit, Vertrauensketten ohne Ausfallzeiten für Arbeitslasten zu rotieren. Ein CA-Pool befindet sich an einem einzigen Google Cloud Standort, den Sie nach der Erstellung nicht mehr ändern können.

So erstellen Sie einen CA-Pool mit den Standardeinstellungen:

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf dem Tab CA-Poolmanager auf Pool erstellen.

  3. Fügen Sie auf der Seite CA-Pool erstellen einen Namen für den CA-Pool hinzu.

  4. Klicken Sie auf Region und wählen Sie us-east1 (South Carolina) als Region von dem CA-Pool aus.

  5. Klicken Sie bei jedem Schritt auf Weiter.

  6. Klicken Sie auf Fertig.

Dieser CA-Pool wird auf dem Tab CA-Poolmanager in der Liste der CA-Pools angezeigt.

Stamm-CA erstellen

Ein CA-Pool ist bei der Erstellung leer. Sie müssen dem CA-Pool eine CA hinzufügen, um Zertifikate anzufordern.

Eine Stamm-CA hat ein selbst signiertes Zertifikat, das sich im Trust Store des Clients befindet. In diesem Abschnitt wird erläutert, wie Sie dem erstellten CA-Pool eine Stamm-CA hinzufügen.

So fügen Sie Ihrem CA-Pool eine Stamm-CA hinzu:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA Manager.
  2. Klicken Sie auf den Pfeil zum Erweitern von CA erstellen und wählen Sie dann CA in einem vorhandenen CA-Pool erstellen aus.
  3. Wählen Sie den erstellten CA-Pool aus.
  4. Klicken Sie auf Weiter.
  5. Klicken Sie im Abschnitt CA-Typ auswählen auf Weiter.
  6. Geben Sie im Feld Organisation (O) den Namen Ihrer Organisation ein.
  7. Geben Sie im Feld Allgemeiner CA-Name (CN) den Namen der CA ein. Notieren Sie sich den Namen der CA, da Sie ihn zum Anfordern eines Zertifikats benötigen.
  8. Klicken Sie bei jedem Schritt auf Weiter.
  9. Prüfen Sie die Details der CA und klicken Sie auf Fertig.

Optional: Untergeordneten CA-Pool erstellen

Mit einem untergeordneten CA-Pool können Sie mehrere untergeordnete CAs organisieren und verwalten. Die Stamm-CA validiert und signiert alle CAs in einem untergeordneten CA-Pool.

So erstellen Sie einen untergeordneten CA-Pool mit den Standardeinstellungen:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA-Poolmanager.
  2. Klicken Sie auf Pool erstellen.

  3. Fügen Sie auf der Seite CA-Pool erstellen einen Namen für den untergeordneten CA-Pool hinzu.

  4. Klicken Sie auf Region und wählen Sie us-east1 (South Carolina) als Region des untergeordneten CA-Pools aus.

  5. Klicken Sie bei jedem Schritt auf Weiter.

  6. Klicken Sie auf Fertig.

Prüfen Sie, ob der untergeordnete CA-Pool auf dem Tab CA-Poolmanager in der Liste der CA-Pools verfügbar ist.

Optional: Untergeordnete CA erstellen, die von Ihrer Stamm-CA signiert wurde

Untergeordnete CAs sind für die Verteilung von Zertifikaten an die Endentitäten verantwortlich, die sie benötigen, z. B. Webserver, Nutzer und Geräte. Untergeordnete CAs schaffen eine Trennung zwischen der hochsensiblen Stamm-CA und der alltäglichen Zertifikatsausstellung.

So generieren Sie eine untergeordnete CA, die von einer zuvor erstellten Stamm-CA signiert wurde:

  1. Klicken Sie auf der Seite Certificate Authority Service auf CA Manager.
  2. Klicken Sie auf den Pfeil zum Erweitern von CA erstellen und wählen Sie dann CA in einem vorhandenen CA-Pool erstellen aus.
  3. Wählen Sie den erstellten untergeordneten CA-Pool aus.
  4. Klicken Sie auf Weiter.
  5. Klicken Sie auf Untergeordnete CA.
  6. Klicken Sie auf Stamm-CA ist in Google Cloud.
  7. Klicken Sie im Feld Signierende Zertifizierungsstelle auf Durchsuchen.
  8. Wählen Sie im Dialogfeld CA auswählen die Stamm-CA aus, die im Abschnitt Stamm-CA erstellen erstellt wurde.
  9. Klicken Sie auf Bestätigen.
  10. Geben Sie im Feld Gültig bis die Dauer ein, für die das Zertifikat der untergeordneten CA gültig sein soll.
  11. Klicken Sie auf Weiter.
  12. Geben Sie im Feld Organisation (O) den Namen Ihrer Organisation ein.
  13. Geben Sie im Feld Allgemeiner CA-Name (CN) den Namen der untergeordneten CA ein. Notieren Sie sich den Namen der untergeordneten CA, da Sie ihn zum Anfordern eines Zertifikats benötigen.
  14. Klicken Sie bei jedem Schritt auf Weiter.
  15. Prüfen Sie die Details der untergeordneten CA und klicken Sie auf Fertig.

Zertifikat anfordern

So fordern Sie ein Zertifikat mit der CA an:

  1. Klicken Sie auf der Seite Certificate Authority Service auf Zertifikat anfordern.

  2. Klicken Sie auf Details eingeben.

    Die Seite „Zertifikat anfordern“ in der Google Cloud Console mit der Option „Details eingeben“ ist hervorgehoben.

  3. Geben Sie unter Domainnamen hinzufügen den voll qualifizierten Domainnamen der Website ein, die Sie mit diesem Zertifikat sichern möchten.

  4. Klicken Sie auf Weiter.

  5. Klicken Sie unter Schlüsselgröße und Algorithmus konfigurieren auf Weiter.

    Das generierte Zertifikat wird angezeigt. Sie können es kopieren oder herunterladen. Klicken Sie auf , um das Zertifikat zu kopieren.

    Ein generiertes Zertifikat, das in der Google Cloud -Konsole angezeigt wird, mit Optionen zum Kopieren oder Herunterladen.

  6. Klicken Sie auf Fertig.

Bereinigen

Bereinigen Sie, indem Sie das Zertifikat aufheben und den CA-Pool, die CA und das Projekt löschen, die Sie für diese Kurzanleitung erstellt haben.

  1. Heben Sie das Zertifikat auf.

    1. Klicken Sie auf den Tab Private Certificate Manager.
    2. Klicken Sie in der Liste der Zertifikate in der Zeile des Zertifikats, das Sie löschen möchten, auf Mehr ansehen.
    3. Klicken Sie auf Aufheben.
    4. Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.

  2. Löschen Sie die CA.

    Sie können eine CA erst löschen, nachdem Sie alle von ihr ausgestellten Zertifikate aufgehoben haben.

    Nachdem Sie das Zertifikat aufgehoben haben, gehen Sie so vor:

    1. Wählen Sie in der Liste der CAs die CA aus, die Sie löschen möchten.
    2. Klicken Sie auf „Löschen“ Löschen. Das Dialogfeld Delete Certificate Authority wird angezeigt.
    3. Optional: Wählen Sie eines oder beide der folgenden Kästchen aus, wenn die Bedingungen auf Sie zutreffen:

      • Diese CA löschen, auch wenn aktive Zertifikate vorhanden sind

        Mit dieser Option können Sie eine CA mit aktiven Zertifikaten löschen. Wenn Sie eine CA mit aktiven Zertifikaten löschen, kann es zu Fehlern bei Websites, Anwendungen oder Systemen kommen, die auf diese Zertifikate angewiesen sind. Wir empfehlen, alle aktiven Zertifikate aufzuheben, die von einer CA ausgestellt wurden, bevor Sie die CA löschen.

      • Kulanzzeitraum von 30 Tagen überspringen und CA sofort löschen

        Der 30-tägige Kulanzzeitraum gibt Ihnen Zeit, alle von dieser CA ausgestellten Zertifikate aufzuheben und zu prüfen, ob keine Systeme von dieser CA abhängig sind. Wir empfehlen, diese Option nur in Testumgebungen zu verwenden, um potenzielle Ausfälle und Datenverluste zu vermeiden.

    4. Klicken Sie auf Bestätigen.

    Der CA-Status ändert sich in Deleted. Die CA wird 30 Tage nach dem Start des Löschvorgangs endgültig gelöscht.

  3. Löschen Sie den CA-Pool.

    Sie können einen CA-Pool erst löschen, nachdem CA Service die CA endgültig gelöscht hat.

    Nachdem Sie die CA im CA-Pool gelöscht haben, gehen Sie so vor:

    1. Klicken Sie auf den Tab CA-Poolmanager.
    2. Wählen Sie in der Liste der CA-Pools den CA-Pool aus, den Sie löschen möchten.
    3. Klicken Sie auf „Löschen“ Löschen.
      4. CA-Pool endgültig löschen
    4. Klicken Sie im angezeigten Dialogfeld auf Bestätigen.

  4. So löschen Sie das Projekt:

    1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

      Zur Seite „Ressourcen verwalten“

    2. Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
    3. Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Shut down (Beenden), um das Projekt zu löschen.

Nächste Schritte