Untergeordnete Zertifizierungsstelle erstellen

Auf dieser Seite wird beschrieben, wie Sie untergeordnete Zertifizierungsstellen (Certificate Authorities, CAs) in einem CA-Pool erstellen.

Untergeordnete CAs sind für die Ausstellung von Zertifikaten direkt an Endentitäten wie Nutzer, Computer und Geräte verantwortlich. Untergeordnete CAs werden kryptografisch von einer übergeordneten CA signiert, die oft die Stamm-CA ist. Daher vertrauen Systeme, die der Stamm-CA vertrauen, automatisch den untergeordneten CAs und den Endentitätzertifikaten, die von den untergeordneten CAs ausgestellt werden.

Hinweis

  • Sie benötigen die IAM-Rolle „CA Service Operation Manager“ (roles/privateca.caManager) oder „CA Service Admin“ (roles/privateca.admin). Weitere Informationen finden Sie unter IAM Richtlinien konfigurieren.
  • Erstellen Sie einen CA-Pool.
  • Wählen Sie Ihre Stamm-CA aus.

Untergeordnete CA erstellen

Untergeordnete CAs lassen sich einfacher widerrufen und rotieren als Stamm-CAs. Wenn Sie mehrere Szenarien für die Zertifikatsausstellung haben, können Sie für jedes dieser Szenarien eine untergeordnete CA erstellen. Wenn Sie einem CA-Pool mehrere untergeordnete CAs hinzufügen, können Sie den Lastenausgleich von Zertifikatsanfragen verbessern und eine höhere effektive QPS insgesamt erzielen.

So erstellen Sie eine untergeordnete CA:

Console

  1. Rufen Sie in der Google Cloud Console die Certificate Authority Service Seite auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA Manager.

  3. Klicken Sie auf CA erstellen.

    Erstellen Sie eine Zertifizierungsstelle mit der Cloud Console.

CA-Typ auswählen

  1. Klicken Sie auf Untergeordnete CA.
  2. Klicken Sie auf Stamm-CA befindet sich in Google Cloud.
  3. Geben Sie im Feld Gültig für die Dauer ein, für die das CA-Zertifikat gültig sein soll.
  4. Optional: Wählen Sie die Stufe für die CA aus. Die Standardstufe ist Enterprise. Weitere Informationen finden Sie unter Betriebsstufen auswählen.
  5. Klicken Sie auf Region , um einen Standort für die CA auszuwählen. Weitere Informationen finden Sie unter Standorte.
  6. Optional: Wählen Sie unter Initialisierter Status den Betriebsstatus aus, in dem die CA erstellt werden soll.
  7. Optional: Klicken Sie unter Ausstellungsszenario einrichten auf Zertifikatsprofil und wählen Sie in der Liste das Zertifikatsprofil aus, das Ihren Anforderungen am besten entspricht. Weitere Informationen finden Sie unter Zertifikat sprofile.
  8. Klicken Sie auf Weiter.
Zertifizierungsstellen-Antragstellername konfigurieren
  1. Geben Sie im Feld Organisation (O) den Namen Ihres Unternehmens ein.
  2. Optional: Geben Sie im Feld Organisationseinheit (OU) die Unterabteilung oder Geschäftseinheit des Unternehmens ein.
  3. Optional: Geben Sie im Feld Ländername (C) einen Ländercode mit zwei Buchstaben ein.
  4. Optional: Geben Sie im Feld Name des Bundesstaats oder der Provinz den Namen Ihres Bundesstaats ein.
  5. Optional: Geben Sie im Feld Ortsname den Namen Ihrer Stadt ein.
  6. Geben Sie im Feld Allgemeiner CA-Name (CN) den Namen der CA ein.
  7. Klicken Sie auf Weiter.
Größe und Algorithmus von CA-Schlüsseln konfigurieren
  1. Wählen Sie den Schlüsselalgorithmus aus, der Ihren Anforderungen am besten entspricht. Weitere Informationen zu den Optionen für Signaturschlüssel finden Sie unter CA-Signaturschlüssel konfigurieren.
  2. Wenn Sie einen vom Kunden verwalteten Signaturschlüssel verwenden möchten, wählen Sie Vom Kunden verwalteter Schlüssel aus und geben Sie die Cloud Key Management Service-Version des kryptografischen Schlüssels an.
  3. Klicken Sie auf Weiter.
CA-Artefakte konfigurieren
  1. Wählen Sie aus, ob Sie einen von Google verwalteten oder einen vom Kunden verwalteten Cloud Storage-Bucket verwenden möchten.
    1. Bei einem von Google verwalteten Cloud Storage-Bucket erstellt CA Service einen von Google verwalteten Bucket am selben Standort wie die CA.
    2. Klicken Sie bei einem vom Kunden verwalteten Cloud Storage-Bucket auf „Durchsuchen“ und wählen Sie einen der vorhandenen Cloud Storage-Buckets aus.
  2. Klicken Sie auf Weiter.
Labels hinzufügen

Die folgenden Schritte sind optional.

So fügen Sie der CA Labels hinzu:

  1. Klicken Sie auf „Hinzufügen“ .
  2. Geben Sie im Feld Schlüssel 1 den Labelschlüssel ein.
  3. Geben Sie im Feld Wert 1 den Labelwert ein.
  4. Wenn Sie ein weiteres Label hinzufügen möchten, klicken Sie auf „Hinzufügen“ Add item. Fügen Sie dann den Labelschlüssel und den Labelwert wie in Schritt 2 und 3 beschrieben hinzu.
  5. Klicken Sie auf Weiter.
Einstellungen überprüfen

Prüfen Sie alle Einstellungen sorgfältig und klicken Sie dann auf Fertig, um die CA zu erstellen.

gcloud

  1. Erstellen Sie einen CA-Pool für die untergeordnete CA:

    gcloud privateca pools create SUBORDINATE_POOL_ID --location=LOCATION

    Ersetzen Sie Folgendes:

    • SUBORDINATE_POOL_ID: der Name des CA-Pools.
    • LOCATION: der Standort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.

    Weitere Informationen zum Erstellen von CA-Pools finden Sie unter CA-Pool erstellen.

    Weitere Informationen zum Befehl gcloud privateca pools create finden Sie unter gcloud privateca pools create.

  2. Erstellen Sie eine untergeordnete CA im erstellten CA-Pool.

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
    --pool=SUBORDINATE_POOL_ID \
    --location=LOCATION \
    --issuer-pool=ISSUER_POOL_ID \
    --issuer-location=ISSUER_LOCATION \
    --key-algorithm="ec-p256-sha256" \
    --subject="CN=Example Server TLS CA, O=Example LLC"

    Ersetzen Sie Folgendes:

    • SUBORDINATE_CA_ID: die eindeutige Kennung der untergeordneten CA.
    • SUBORDINATE_POOL_ID: der Name des CA-Pools.
    • LOCATION: der Standort des CA-Pools.
    • ISSUER_POOL_ID: der Name des CA-Pools, der die ausstellende CA enthält.

    • ISSUER_LOCATION: der Standort des CA-Pools, der die ausstellende CA enthält.

      Das Flag --key-algorithm gibt den kryptografischen Algorithmus an, den Sie zum Erstellen eines verwalteten Cloud HSM-Schlüssels für die CA verwenden möchten.

      Das Flag --subject gibt den X.501-Namen des Zertifikatssubjekts an.

    Führen Sie den folgenden Befehl aus, um eine untergeordnete CA mit einem vom Kunden verwalteten Signaturschlüssel zu erstellen:

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
    --pool=SUBORDINATE_POOL_ID \
    --location=LOCATION \
    --issuer-pool=ISSUER_POOL_ID \
    --issuer-location=ISSUER_LOCATION \
    --kms-key-version=KMS_KEY_VERSION \
    --subject="CN=Example Server TLS CA, O=Example LLC"

    Ersetzen Sie Folgendes:

    • SUBORDINATE_POOL_ID: der Name des CA-Pools.
    • LOCATION: der Standort des CA-Pools.
    • ISSUER_POOL_ID: der Name des CA-Pools, der die ausstellende CA enthält.
    • ISSUER_LOCATION: der Standort des CA-Pools, der die ausstellende CA enthält.
    • KMS_KEY_VERSION: die vollständige Ressourcen-ID einer vom Kunden verwalteten Cloud KMS-Version des kryptografischen Schlüssels, die als Signaturschlüssel verwendet werden soll.

    Weitere Informationen zu den Optionen für Signaturschlüssel und zum Vorbereiten eines vom Kunden verwalteten Signaturschlüssels finden Sie unter Zertifizierungsstellen-Signaturschlüssel konfigurieren.

    Die folgende Anweisung wird zurückgegeben, wenn die untergeordnete CA erstellt wird.

    Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].

    Verwenden Sie die Flags --custom-aia-urls und --custom-cdp-urls, um benutzerdefinierte Zugriffs-URLs für Authority Information Access (AIA) und CRL Distribution Point (CDP) anzugeben. Wenn diese URLs angegeben werden, sind sie in allen von der CA ausgestellten Zertifikaten enthalten und ersetzen die Standard-Zugriffs-URLs für Cloud Storage-Bucket.

    Führen Sie den folgenden gcloud-Befehl aus, um eine vollständige Liste der Einstellungen aufzurufen:

    gcloud privateca subordinates create --help

    Der Befehl gibt Beispiele zum Erstellen einer untergeordneten CA zurück, deren Aussteller sich entweder in CA Service oder an einem anderen Ort befindet.

Terraform

resource "google_privateca_certificate_authority" "root_ca" {
  // This example assumes this pool already exists.
  // Pools cannot be deleted in normal test circumstances, so we depend on static pools
  pool                                   = "my-pool"
  certificate_authority_id               = "my-certificate-authority-root"
  location                               = "us-central1"
  deletion_protection                    = false # set to true to prevent destruction of the resource
  ignore_active_certificates_on_deletion = true
  config {
    subject_config {
      subject {
        organization = "ACME"
        common_name  = "my-certificate-authority"
      }
    }
    x509_config {
      ca_options {
        # is_ca *MUST* be true for certificate authorities
        is_ca = true
      }
      key_usage {
        base_key_usage {
          # cert_sign and crl_sign *MUST* be true for certificate authorities
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
  // valid for 10 years
  lifetime = "${10 * 365 * 24 * 3600}s"
}

resource "google_privateca_certificate_authority" "sub_ca" {
  // This example assumes this pool already exists.
  // Pools cannot be deleted in normal test circumstances, so we depend on static pools
  pool                     = "my-sub-pool"
  certificate_authority_id = "my-certificate-authority-sub"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  subordinate_config {
    certificate_authority = google_privateca_certificate_authority.root_ca.name
  }
  config {
    subject_config {
      subject {
        organization = "ACME"
        common_name  = "my-subordinate-authority"
      }
    }
    x509_config {
      ca_options {
        is_ca = true
        # Force the sub CA to only issue leaf certs.
        # Use e.g.
        #    max_issuer_path_length = 1
        # if you need to chain more subordinates.
        zero_max_issuer_path_length = true
      }
      key_usage {
        base_key_usage {
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
        }
      }
    }
  }
  // valid for 5 years
  lifetime = "${5 * 365 * 24 * 3600}s"
  key_spec {
    algorithm = "RSA_PKCS1_2048_SHA256"
  }
  type = "SUBORDINATE"
}

Java

Richten Sie zur Authentifizierung bei CA Service die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPoolName;
import com.google.cloud.security.privateca.v1.CertificateAuthority;
import com.google.cloud.security.privateca.v1.CertificateAuthority.KeyVersionSpec;
import com.google.cloud.security.privateca.v1.CertificateAuthority.SignHashAlgorithm;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateConfig;
import com.google.cloud.security.privateca.v1.CertificateConfig.SubjectConfig;
import com.google.cloud.security.privateca.v1.CreateCertificateAuthorityRequest;
import com.google.cloud.security.privateca.v1.KeyUsage;
import com.google.cloud.security.privateca.v1.KeyUsage.KeyUsageOptions;
import com.google.cloud.security.privateca.v1.Subject;
import com.google.cloud.security.privateca.v1.SubjectAltNames;
import com.google.cloud.security.privateca.v1.X509Parameters;
import com.google.cloud.security.privateca.v1.X509Parameters.CaOptions;
import com.google.longrunning.Operation;
import com.google.protobuf.Duration;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateSubordinateCa {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set it to the CA Pool under which the CA should be created.
    // subordinateCaName: Unique name for the Subordinate CA.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    String subordinateCaName = "subordinate-certificate-authority-name";

    createSubordinateCertificateAuthority(project, location, poolId, subordinateCaName);
  }

  public static void createSubordinateCertificateAuthority(
      String project, String location, String poolId, String subordinateCaName)
      throws IOException, ExecutionException, InterruptedException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      String commonName = "commonname";
      String orgName = "csr-org-name";
      String domainName = "dns.example.com";
      int caDuration = 100000; // Validity of this CA in seconds.

      // Set the type of Algorithm.
      KeyVersionSpec keyVersionSpec =
          KeyVersionSpec.newBuilder().setAlgorithm(SignHashAlgorithm.RSA_PKCS1_4096_SHA256).build();

      // Set CA subject config.
      SubjectConfig subjectConfig =
          SubjectConfig.newBuilder()
              .setSubject(
                  Subject.newBuilder().setCommonName(commonName).setOrganization(orgName).build())
              // Set the fully qualified domain name.
              .setSubjectAltName(SubjectAltNames.newBuilder().addDnsNames(domainName).build())
              .build();

      //  Set the key usage options for X.509 fields.
      X509Parameters x509Parameters =
          X509Parameters.newBuilder()
              .setKeyUsage(
                  KeyUsage.newBuilder()
                      .setBaseKeyUsage(
                          KeyUsageOptions.newBuilder().setCrlSign(true).setCertSign(true).build())
                      .build())
              .setCaOptions(CaOptions.newBuilder().setIsCa(true).build())
              .build();

      // Set certificate authority settings.
      CertificateAuthority subCertificateAuthority =
          CertificateAuthority.newBuilder()
              .setType(CertificateAuthority.Type.SUBORDINATE)
              .setKeySpec(keyVersionSpec)
              .setConfig(
                  CertificateConfig.newBuilder()
                      .setSubjectConfig(subjectConfig)
                      .setX509Config(x509Parameters)
                      .build())
              // Set the CA validity duration.
              .setLifetime(Duration.newBuilder().setSeconds(caDuration).build())
              .build();

      // Create the CertificateAuthorityRequest.
      CreateCertificateAuthorityRequest subCertificateAuthorityRequest =
          CreateCertificateAuthorityRequest.newBuilder()
              .setParent(CaPoolName.of(project, location, poolId).toString())
              .setCertificateAuthorityId(subordinateCaName)
              .setCertificateAuthority(subCertificateAuthority)
              .build();

      // Create Subordinate CA.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient
              .createCertificateAuthorityCallable()
              .futureCall(subCertificateAuthorityRequest);

      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating Subordinate CA !" + response.getError());
        return;
      }

      System.out.println(
          "Subordinate Certificate Authority created successfully : " + subordinateCaName);
    }
  }
}

Python

Richten Sie zur Authentifizierung bei CA Service die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten. 

import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2


def create_subordinate_ca(
    project_id: str,
    location: str,
    ca_pool_name: str,
    subordinate_ca_name: str,
    common_name: str,
    organization: str,
    domain: str,
    ca_duration: int,
) -> None:
    """
    Create Certificate Authority (CA) which is the subordinate CA in the given CA Pool.
    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set it to the CA Pool under which the CA should be created.
        subordinate_ca_name: unique name for the Subordinate CA.
        common_name: a title for your certificate authority.
        organization: the name of your company for your certificate authority.
        domain: the name of your company for your certificate authority.
        ca_duration: the validity of the certificate authority in seconds.
    """

    ca_service_client = privateca_v1.CertificateAuthorityServiceClient()

    # Set the type of Algorithm
    key_version_spec = privateca_v1.CertificateAuthority.KeyVersionSpec(
        algorithm=privateca_v1.CertificateAuthority.SignHashAlgorithm.RSA_PKCS1_4096_SHA256
    )

    # Set CA subject config.
    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(
            common_name=common_name, organization=organization
        ),
        # Set the fully qualified domain name.
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain]),
    )

    # Set the key usage options for X.509 fields.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                crl_sign=True,
                cert_sign=True,
            )
        ),
        ca_options=privateca_v1.X509Parameters.CaOptions(
            is_ca=True,
        ),
    )

    # Set certificate authority settings.
    certificate_authority = privateca_v1.CertificateAuthority(
        type_=privateca_v1.CertificateAuthority.Type.SUBORDINATE,
        key_spec=key_version_spec,
        config=privateca_v1.CertificateConfig(
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        # Set the CA validity duration.
        lifetime=duration_pb2.Duration(seconds=ca_duration),
    )

    ca_pool_path = ca_service_client.ca_pool_path(project_id, location, ca_pool_name)

    # Create the CertificateAuthorityRequest.
    request = privateca_v1.CreateCertificateAuthorityRequest(
        parent=ca_pool_path,
        certificate_authority_id=subordinate_ca_name,
        certificate_authority=certificate_authority,
    )

    operation = ca_service_client.create_certificate_authority(request=request)
    result = operation.result()

    print(f"Operation result: {result}")

Untergeordnete CA aktivieren

So aktivieren Sie eine untergeordnete CA:

Console

  1. Rufen Sie in der Google Cloud Console die Certificate Authority Service Seite auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf den Tab CA Manager.

  3. Wählen Sie unter Zertifizierungsstellen die CA aus, die Sie aktivieren möchten.

  4. Klicken Sie auf „Aktivieren.

  5. Klicken Sie im daraufhin geöffneten Dialogfeld auf CSR herunterladen , um die PEM-codierte CSR-Datei herunterzuladen, die von der ausstellenden CA signiert werden kann.

  6. Klicken Sie auf Weiter.

  7. Klicken Sie im Feld Zertifikatkette hochladen auf Durchsuchen.

  8. Laden Sie die signierte Zertifikatsdatei mit der Erweiterung .crt hoch.

  9. Klicken Sie auf Aktivieren.

gcloud

Führen Sie den folgenden Befehl aus, um eine neu erstellte untergeordnete CA zu aktivieren:

gcloud privateca subordinates enable SUBORDINATE_CA_ID \
--pool=SUBORDINATE_POOL_ID \
--location=LOCATION

Ersetzen Sie Folgendes:

  • SUBORDINATE_CA_ID: die eindeutige Kennung der untergeordneten CA.
  • SUBORDINATE_POOL_ID: der Name des CA-Pools, der die untergeordnete CA enthält.
  • LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Weitere Informationen zum gcloud privateca subordinates enable Befehl finden Sie unter gcloud privateca subordinates enable.

Terraform

Setzen Sie das Feld desired_state für die untergeordnete CA auf ENABLED und führen Sie terraform apply aus.

Nächste Schritte