Ressourcen für die Konfiguration der Zertifikatsausstellung verwalten

Auf dieser Seite wird beschrieben, wie Sie eine Konfigurationsressource für die Zertifikatausstellung erstellen und verwalten.

Weitere Informationen zu Konfigurationsressourcen für die Zertifikatsausstellung finden Sie unter Konfigurationen für die Zertifikatsausstellung.

Konfigurationsressource für die Zertifikatsausstellung erstellen

Bevor Sie die Ressource für die Ausstellungskonfiguration erstellen, müssen Sie die CA Service-Integration mit Certificate Manager konfigurieren.

Wenn Sie eine Konfigurationsressource für die Zertifikatausstellung erstellen möchten, geben Sie die Gültigkeitsdauer des Zertifikats, den Prozentsatz des Rotationszeitraums, den Schlüsselalgorithmus und den zu verwendenden CA-Pool an.

Auch wenn Sie einen regionalen CA-Pool zum Ausstellen eines von Google verwalteten TLS-Zertifikats verwenden, kann das Zertifikat global verwendet werden.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf Erstellen. Die Seite Konfiguration der Zertifikatsausstellung erstellen wird angezeigt.

  3. Geben Sie im Feld Name einen eindeutigen Namen für die Ressource der Zertifikatausstellungskonfiguration ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Ausstellungs-Konfiguration ein.

  5. Wählen Sie als Standort die Option Global oder Regional aus. Wenn Sie Regional ausgewählt haben, wählen Sie dieselbe Region wie für Ihr Zertifikat und Ihren Zertifizierungsstellenpool aus.

  6. Geben Sie im Feld Lifetime (Lebensdauer) die Lebensdauer des ausgestellten Zertifikats in Tagen an. Der Wert muss zwischen 21 und 30 Tagen (einschließlich) liegen.

  7. Geben Sie für Prozentsatz des Rotationszeitraums den Prozentsatz der Zertifikatslebensdauer an, bei dem die Verlängerung beginnt. Informationen zum Bereich gültiger Werte finden Sie unter Prozentsatz für Lebensdauer und Rotationszeitraum.

  8. Wählen Sie in der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.

  9. Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, der dieser Konfigurationsressource für die Zertifikatausstellung zugewiesen werden soll.

  10. Geben Sie im Feld Labels Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Ressource für die Konfiguration der Zertifikatausstellung den Befehl certificate-manager issuance-configs create:

gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
    --ca-pool=CA_POOL \
    --lifetime=CERTIFICATE_LIFETIME \
    --rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
    --key-algorithm=KEY_ALGORITHM
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • CA_POOL: Der vollständige Ressourcenpfad und Name des CA-Pools, den Sie der Ressource für die Konfiguration der Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME: die Zertifikatslaufzeit in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen im Format für die absolute Dauer. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.
  • ROTATION_WINDOW_PERCENTAGE: Der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Erneuerung. Der Standardwert ist 66%. Informationen zum Ermitteln des Bereichs gültiger Werte finden Sie unter [Prozentsatz des Lebenszyklus und des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.
  • KEY_ALGORITHM: Der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Dieses Flag ist optional.
  • LOCATION: Der Ziel Google Cloud standort.

API

Erstellen Sie die Konfigurationsressource für die Zertifikatsausstellung. Stellen Sie dazu eine POST-Anfrage an die Methode certificateIssuanceConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
 {
  "name": "ISSUANCE_CONFIG_NAME",
  "description": "DESCRIPTION",
  "certificateAuthorityConfig": {
    "certificateAuthorityServiceConfig": {
          "caPool": "CA_POOL"
    },
  },
  "lifetime": "CERTIFICATE_LIFETIME",
  "rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
  "keyAlgorithm": "KEY_ALGORITHM",
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud -Projekts.
  • LOCATION: Der Ziel Google Cloud standort.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • DESCRIPTION: Eine aussagekräftige Beschreibung für die Ressource der Konfiguration der Zertifikatsausstellung.
  • CA_POOL: Der vollständige Ressourcenpfad und Name des CA-Pools, den Sie der Ressource für die Konfiguration der Zertifikatsausstellung zuweisen möchten.
  • CERTIFICATE_LIFETIME: die Zertifikatslaufzeit in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen im Format für die absolute Dauer. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.
  • ROTATION_WINDOW_PERCENTAGE: Der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Erneuerung. Der Standardwert ist 66%. Informationen zum Ermitteln des Bereichs gültiger Werte finden Sie unter [Prozentsatz des Lebenszyklus und des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.
  • KEY_ALGORITHM: Der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sind ecdsa-p256 und rsa-2048. Der Standardwert ist rsa-2048. Dieses Flag ist optional.

Laufzeit und Prozentsatz des Rotationsfensters

Wenn Sie eine Konfigurationsressource für die Zertifikatausstellung erstellen, definieren Sie auch die Lebensdauer des Zertifikats im Feld Lifetime (Lebensdauer) und den Beginn des Zertifikatsverlängerungsprozesses vor dem Ablauf des Zertifikats im Feld Rotation window percentage (Prozentsatz des Rotationszeitraums).

Damit das Zertifikat mindestens sieben Tage vor Ablauf und sieben Tage nach Ausstellung verlängert wird, legen Sie den Prozentsatz des Rotationsfensters relativ zur Laufzeit des Zertifikats fest. Mit den folgenden Formeln können Sie den zulässigen Bereich für den Prozentsatz des Rotationszeitraums berechnen:

  • Mindestwert: Prozentsatz des Rotationsfensters ≥ (7 / Laufzeit) × 100
  • Maximalwert: Prozentsatz des Rotationsfensters ≤ ( (Laufzeit – 7) / Laufzeit) × 100

In den vorherigen Formeln steht 7 für sieben Tage.

Wenn der Mindestwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl auf. Wenn der Höchstwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl ab.

Konfiguration der Zertifikatsausstellung aktualisieren

Wenn Sie eine Konfiguration für die Zertifikatsausstellung aktualisieren, haben Sie folgende Möglichkeiten:

  • Neue Labels angeben
  • Neue Beschreibung angeben

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs update, um eine Ressource für die Konfiguration der Zertifikatausstellung zu aktualisieren:

gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
    [--update-labels="LABELS"] \
    [--description="DESCRIPTION"]

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME: Der Name der Zielkonfiguration für die Zertifikatausstellung, die Sie aktualisieren möchten.
  • LABELS: Labels, die Sie für die Konfiguration der Zertifikatsausstellung angeben möchten. Labels müssen in einer kommagetrennten Liste als KEY=VALUE-Paare angegeben werden. Dieses Feld ist optional.
  • DESCRIPTION: Die Beschreibung der Konfiguration für die Ausstellung von Zertifikaten. Dieses Feld ist optional.

API

Verwenden Sie die Methode certificateIssuanceConfigs.patch, um eine Konfiguration der Zertifikatsausstellung zu aktualisieren:

PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
  labels: { "LABEL_KEY": "LABEL_VALUE" },
  description: "DESCRIPTION"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud -Projekts.
  • ISSUANCE_CONFIG_NAME: Der Name der Zielkonfiguration für die Zertifikatausstellung, die Sie aktualisieren möchten.
  • LABEL_KEY: der Labelschlüssel. Dieses Feld ist optional.
  • LABEL_VALUE: der Wert des Labels. Dieses Feld ist optional.
  • DESCRIPTION: Die Konfiguration der Zertifikatsausstellung.

Konfigurationen für die Zertifikatsausstellung auflisten

Sie können alle Konfigurationsressourcen für die Zertifikatausstellung Ihres Projekts und deren Details aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.

    Zum Zertifikatmanager

    Auf dem Tab Konfigurationen für die Ausstellung werden alle Konfigurationsressourcen für die Zertifikatausstellung angezeigt, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs list, um Ressourcen für die Konfiguration der Zertifikatausstellung aufzulisten:

gcloud certificate-manager issuance-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.

  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT: die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

  • LOCATION: Der Ziel Google Cloud standort.

API

So listen Sie konfigurierte Ressourcen für die Zertifikatsausstellung auf, indem Sie eine LIST-Anfrage an die certificateIssuanceConfigs.list-Methode senden:

GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud -Projekts.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Sortieren und Filtern von Listenergebnissen.

  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

Status einer Konfigurationsressource für die Zertifikatsausstellung ansehen

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Namen der Ressource für die Konfiguration der Zertifikatausstellung, die Sie aufrufen möchten. Auf der Seite Konfiguration der Zertifikatsausstellung werden detaillierte Informationen zur Ressource für die Konfiguration der Zertifikatsausstellung angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager issuance-configs describe, um den Status einer Ressource für die Konfiguration der Zertifikatausstellung aufzurufen:

gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME

Ersetzen Sie ISSUANCE_CONFIG_NAME durch den Namen der Ressource für die Konfiguration der Zertifikatausstellung, die auf den Ziel-CA-Pool verweist.

API

So rufen Sie den Status der Konfigurationsressource für die Zertifikatausstellung ab: Senden Sie eine GET-Anfrage an die certificateIssuanceConfigs.get-Methode:

  GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud -Projekts.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.

Ressource für Konfiguration der Zertifikatsausstellung löschen

Bevor Sie eine Ressource für die Zertifikatausstellungskonfiguration löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, auf das sie verweist.

Wenn Sie die letzte CA deaktivieren möchten, die Sie in einem CA-Pool aktiviert haben, auf den in der Ressource für die Konfiguration der Zertifikatsausstellung verwiesen wird, oder den CA-Pool vollständig löschen möchten, müssen Sie zuerst alle Ressourcen für die Konfiguration der Zertifikatsausstellung löschen, die auf den CA-Pool verweisen.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Ausstellungskonfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf das Kästchen neben der Ausstellungskonfiguration, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

Verwenden Sie zum Löschen einer Konfigurationsressource für die Zertifikatausstellung den Befehl certificate-manager issuance-configs delete:

gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
    [--location=LOCATION]

Ersetzen Sie Folgendes:

  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • LOCATION: Der Ziel Google Cloud standort.

API

Löschen Sie die Konfigurationsressource für die Zertifikatsausstellung, indem Sie eine DELETE-Anfrage an die certificateIssuanceConfigs.delete-Methode senden:

  DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud -Projekts.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.

Nächste Schritte