Zertifikat mit Public CA und einem ACME-Client anfordern

In dieser Anleitung erfahren Sie, wie Sie mit der Google Cloud CLI ein TLS-Zertifikat bei der Public Certificate Authority anfordern. Informationen zu den Root- und Zwischen-CAs, die von der Public Certificate Authority verwendet werden, finden Sie unter Google Trust Services. Das Anfordern von Zertifikaten bei der Public CA ist kostenlos.

Hinweis

Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
```
gcloud init
```
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Hinweis: Sie können die gcloud CLI in der Google Cloud Console ausführen, ohne die Google Cloud CLI zu installieren. Wenn Sie die gcloud CLI in der Google Cloud Console ausführen möchten, verwenden Sie Cloud Shell.
Erstellen Sie ein neues Projekt oder wählen Sie ein vorhandenes Projekt Google Cloud aus.
Erforderliche Rollen zum Auswählen oder Erstellen eines Projekts
- Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können ein beliebiges Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
- Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die resourcemanager.projects.create Berechtigung enthält. Informationen zum Zuweisen von Rollen.
Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen und dadurch alle mit ihm verknüpften Ressourcen entfernen.
- Erstellen Sie ein Google Cloud Projekt in:
```
gcloud projects create PROJECT_ID
```
  Ersetzen Sie PROJECT_ID durch einen Namen für das Google Cloud Projekt, das Sie erstellen.
- Wählen Sie das von Ihnen erstellte Google Cloud Projekt aus:
```
gcloud config set project PROJECT_ID
```
  Ersetzen Sie PROJECT_ID durch den Namen Ihres Google Cloud Projekts in.
Prüfen Sie, ob Sie die IAM-Rolle „Public CA External Account Key Creator“ (roles/publicca.externalAccountKeyCreator) haben.

Führen Sie den folgenden Befehl aus, um diese Rolle zuzuweisen:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER \
  --role=roles/publicca.externalAccountKeyCreator
```
Ersetzen Sie Folgendes:
- PROJECT_ID: die ID Ihres Google Cloud Projekts
- USER: die eindeutige ID des Nutzers, dem Sie die IAM-Rolle zuweisen möchten
Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Aktivieren Sie die Public CA API:
Erforderliche Rollen zum Aktivieren von APIs
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.
```
gcloud services enable publicca.googleapis.com
```

Client installieren

Wenn Sie die Public CA verwenden möchten, müssen Sie einen ACME-Client installieren. In der folgenden Anleitung wird Certbot als ACME-Client verwendet. Sie können jeden anderen ACME-Client verwenden, sofern er die externe Kontobindung (External Account Binding, EAB) unterstützt.

Eine Anleitung zur Installation von Certbot finden Sie hier: Certbot instructions.

Richten Sie Ihren Client auf den Public CA-Server aus. Wenn der ACME-Client zum ersten Mal mit der Public CA interagiert, generiert er ein neues Schlüsselpaar und sendet den öffentlichen Schlüssel an die Public CA.

EAB-Schlüssel-ID und HMAC anfordern

Nachdem Sie einen ACME-Client installiert haben, müssen Sie Ihr ACME-Konto bei der Public CA registrieren, um Zertifikate von der Public CA anzufordern. Mit einem EAB-Secret können Sie Ihr ACME-Konto bei der Public CA registrieren. Ein EAB-Secret besteht aus einer Schlüssel-ID und einem Hash-basierten Message Authentication Code (HMAC).

Sie können ein EAB-Secret über die Public CA API oder die Google Cloud CLI anfordern.

Führen Sie den folgenden Befehl aus, um eine EAB-Schlüssel-ID und einen HMAC anzufordern:

gcloud publicca external-account-keys create

Dieser Befehl gibt ein EAB-Secret zurück, das in der Produktionsumgebung der Public CA gültig ist. Im Antworttext enthält das Feld keyId die EAB-Schlüssel-ID und das Feld b64MacKey den EAB-HMAC.

Sie müssen ein EAB-Secret innerhalb von 7 Tagen nach dem Abrufen verwenden. Wenn Sie das EAB-Secret nicht innerhalb von 7 Tagen verwenden, wird es ungültig. Das mit einem EAB-Secret registrierte ACME-Konto hat kein Ablaufdatum.

ACME-Konto registrieren

In diesem Abschnitt wird erläutert, wie Sie ein ACME-Konto bei der Public CA registrieren, indem Sie das gerade abgerufene EAB-Secret angeben.

Registrieren Sie ein ACME-Konto mit einem regulären ACME-Client und geben Sie bei der Registrierung die EAB-Schlüssel-ID und den HMAC an.

Führen Sie den folgenden Befehl aus, um ein ACME-Konto bei der Public CA zu registrieren und das ACME Konto mit dem Google Cloud Projekt zu verknüpfen, das Sie zum Anfordern des EAB-Secrets verwendet haben:

certbot register \
    --email "EMAIL_ADDRESS" \
    --no-eff-email \
    --server "SERVER" \
    --eab-kid "EAB_KID" \
    --eab-hmac-key "EAB_HMAC_KEY"

Ersetzen Sie Folgendes:

EMAIL_ADDRESS: Ihre E-Mail-Adresse.
SERVER: die ACME-Verzeichnis-URL für die Produktions- oder Staging-Umgebung.
EAB_KID: die EAB-Schlüssel-ID.
EAB_HMAC_KEY: der EAB-HMAC-Schlüssel.

In der folgenden Tabelle finden Sie die Beschreibung und die ACME-Verzeichnis-URL für die Produktions- und Staging-Umgebung:

Umgebung	Beschreibung	ACME-Verzeichnis-URL
Produktion	In der Produktionsumgebung können Sie öffentlich vertrauenswürdige Zertifikate erhalten.	`https://dv.acme-v02.api.pki.goog/directory`
Staging	Die Staging-Umgebung gibt Zertifikate zurück, die nicht öffentlich vertrauenswürdig sind. In der Staging-Umgebung werden dieselben Validierungsprüfungen wie in der Produktionsumgebung durchgeführt. Sie können die Staging-Umgebung für Integrationstests oder andere Arten von Tests verwenden.	`https://dv.acme-v02.test-api.pki.goog/directory`

Sie können nur ein ACME-Konto mit einem EAB-Secret registrieren. Nachdem Sie ein ACME-Konto mit einem EAB-Secret registriert haben, wird das EAB-Secret ungültig und kann nicht wiederverwendet werden. Wenn Sie mehrere ACME-Konten registrieren möchten, müssen Sie für jedes Konto ein eindeutiges EAB-Secret anfordern.

Zertifikate anfordern

Nachdem die Public CA Ihre Kontrolle über das Zertifikat-Ziel validiert hat und bestätigt hat, dass Ihr ACME-Client wie erwartet funktioniert, um Zertifikatsverwaltungsaufgaben auszuführen, können Sie die regulären ACME-Workflows verwenden, um Zertifikate anzufordern, zu erneuern und zu widerrufen. Sie können diese Vorgänge mit Ihrem ACME-Client ausführen. Um ein Zertifikat anzufordern und zu erneuern, müssen Sie eine ACME-Challenge abschließen, z. B. die manuelle DNS-Challenge.

Führen Sie den folgenden Befehl aus, um mit der manuellen DNS-Challenge ein Zertifikat anzufordern:

certbot certonly \
    --manual \
    --preferred-challenges "dns-01" \
    --server "SERVER" \
    --domains "DOMAINS"

Ersetzen Sie Folgendes:

SERVER: die ACME-Verzeichnis-URL für die Produktions- oder Staging-Umgebung.
DOMAINS: eine durch Kommas getrennte Liste von Domains, für die Sie Zertifikate anfordern.

Bereinigen

Wenn Sie keine Zertifikate mehr für Ihre Domains benötigen, löschen Sie das von Ihnen erstellte Projekt.

Staging

Sie können die Staging-Umgebung der Public CA verwenden, um Zertifikate für Testzwecke anzufordern. Die von der Staging Umgebung ausgestellten Zertifikate werden mit einer Test-Root-CA verkettet. Zertifikate aus der Staging-Umgebung werden von Browsern oder anderen Clients, die nicht für die Vertrauenswürdigkeit des Staging-Root-Zertifikats konfiguriert wurden, nicht als vertrauenswürdig eingestuft. Wenn Sie ein EAB-Secret erhalten möchten, das in der Staging-Umgebung gültig ist, überschreiben Sie den API-Endpunkt, um den Endpunkt für die Staging-Umgebung zu verwenden:

gcloud config set api_endpoint_overrides/publicca https://preprod-publicca.googleapis.com/

Führen Sie dann den Befehl zum Erstellen des Kontoschlüssels aus, um einen Staging-Schlüssel zu erstellen:

gcloud publicca external-account-keys create

Führen Sie den folgenden Befehl aus, um zum Endpunkt für die Produktionsumgebung zurückzukehren:

gcloud config unset api_endpoint_overrides/publicca

Achtung: Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für die Aufgaben in diesem Dokument ein bereits bestehendes Projekt verwendet haben und dieses löschen, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID nutzen, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Architekturen, Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

Projekt löschen: Google Cloud

gcloud projects delete PROJECT_ID

Nächste Schritte

Public Certificate Authority