Konfigurationen von Vertrauensstellungen verwalten

Auf dieser Seite wird beschrieben, wie Sie Vertrauenskonfigurationen für die Verwendung in verschiedenen Szenarien für die gegenseitige TLS-Authentifizierung (mTLS) erstellen und verwalten.

Weitere Informationen zu mTLS finden Sie in den folgenden Ressourcen:

Vertrauenskonfiguration erstellen

Wenn Sie eine Konfiguration der Vertrauensstellung erstellen, müssen Sie die Trust-Anchors angeben, die zum Validieren des Zertifikats verwendet werden.

So erstellen Sie eine Vertrauenskonfiguration:

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Trust-Konfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf Vertrauenskonfiguration hinzufügen. Die Seite Vertrauenskonfiguration erstellen wird angezeigt.

  3. Geben Sie im Feld Name einen Namen für die Konfiguration ein.

    Der Name muss für das Projekt eindeutig sein. Der Name muss mit einem Kleinbuchstaben beginnen, gefolgt von bis zu 62 Kleinbuchstaben, Ziffern oder Bindestrichen. Das letzte Zeichen darf kein Bindestrich sein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Konfiguration ein. Anhand dieser Beschreibung können Sie eine bestimmte Konfiguration später leichter identifizieren.

  5. Optional: Geben Sie im Feld Labels Labels an, die der Vertrauenskonfiguration zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  6. Wählen Sie als Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie die Region aus.

  7. Fügen Sie im Abschnitt Trust Store Trust-Anchors und Zwischen-CAs hinzu.

    Sie können mehrere Vertrauensanker und Zwischenzertifikate angeben, indem Sie mehrere Instanzen der vollständigen PEM-Nutzlast für das Zertifikat verwenden, ein Zertifikat pro Instanz.

    1. Klicken Sie im Abschnitt Trust-Anchors auf Trust-Anchor hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Wenn Sie fertig sind, klicken Sie auf Hinzufügen.

    2. Optional: Klicken Sie im Abschnitt Zwischen-CAs auf Zwischen-CA hinzufügen und laden Sie die PEM-codierte Zwischenzertifikatsdatei hoch oder kopieren Sie den Inhalt des Zwischenzertifikats. Wenn Sie fertig sind, klicken Sie auf Hinzufügen.

      Mit diesem Schritt können Sie eine weitere Vertrauensebene zwischen dem Root-Zertifikat und Ihrem Serverzertifikat hinzufügen.

    3. Optional: Klicken Sie im Bereich Zugelassene Zertifikate auf Zertifikat hinzufügen und laden Sie die PEM-codierte Zertifikatsdatei hoch oder kopieren Sie den Inhalt des Zertifikats. Dadurch wird das Zertifikat einer Zulassungsliste hinzugefügt. Wenn Sie fertig sind, klicken Sie auf Hinzufügen.

    Wenn Sie mehrere Trust-Anchors oder Zwischenzertifikate in der Spezifikation der Trust-Konfigurationsressource angeben möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate. Jede Instanz des Felds enthält ein einzelnes Zertifikat.

    In der Vertrauenskonfiguration wird ein Zertifikat auf einer Zulassungsliste immer als gültig betrachtet. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste zusammenfassen möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate, ein Zertifikat pro Instanz. Wenn Sie Zertifikate verwenden, die einer Allowlist hinzugefügt wurden, benötigen Sie keinen Truststore.

    In der Vertrauenskonfiguration wird ein Zertifikat auf einer Zulassungsliste immer als gültig betrachtet, wenn es bestimmte Bedingungen erfüllt: Es muss parsierbar sein, einen Nachweis für den Besitz des privaten Schlüssels enthalten und die Einschränkungen für das SAN-Feld des Zertifikats einhalten. Abgelaufene Zertifikate gelten auch als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.

  8. Klicken Sie auf Erstellen.

Prüfen Sie, ob die neue Vertrauenskonfiguration in der Liste der Konfigurationen angezeigt wird.

gcloud

  1. Erstellen Sie eine YAML-Datei für die Vertrauenskonfiguration, in der die Parameter für die Vertrauenskonfiguration angegeben werden.

    Die Datei hat das folgende Format:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, um für diese Vertrauenskonfigurationsressource verwendet zu werden.

    Wenn Sie mehrere Trust-Anchors oder Zwischenzertifikate in der Spezifikation der Trust-Konfigurationsressource angeben möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate. Jede Instanz des Felds enthält ein einzelnes Zertifikat.

    In der Vertrauenskonfiguration wird ein Zertifikat auf einer Zulassungsliste immer als gültig betrachtet. Wenn Sie mehrere Zertifikate auf einer Zulassungsliste zusammenfassen möchten, verwenden Sie mehrere Instanzen des Felds pemCertificate, ein Zertifikat pro Instanz. Wenn Sie Zertifikate verwenden, die einer Allowlist hinzugefügt wurden, benötigen Sie keinen Truststore.

    In der Vertrauenskonfiguration wird ein Zertifikat auf einer Zulassungsliste immer als gültig betrachtet, wenn es bestimmte Bedingungen erfüllt: Es muss parsierbar sein, einen Nachweis für den Besitz des privaten Schlüssels enthalten und die Einschränkungen für das SAN-Feld des Zertifikats einhalten. Abgelaufene Zertifikate gelten auch als gültig, wenn sie einer Zulassungsliste hinzugefügt werden. Weitere Informationen zum PEM-codierten Format finden Sie unter RFC 7468.

  2. Verwenden Sie den Befehl gcloud certificate-manager trust-configs import, um die YAML-Datei für die Vertrauenskonfiguration zu importieren:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID Ihres Google Cloud -Projekts.
    • TRUST_CONFIG_FILE: der vollständige Pfad und Name der YAML-Datei für die Vertrauenskonfiguration, die Sie in Schritt 1 erstellt haben.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

API

Stellen Sie eine POST-Anfrage an die Methode trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID Ihres Google Cloud -Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • DESCRIPTION: eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Dieser Wert ist optional.
  • CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
  • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
  • ALLOWLISTED_CERT: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um für diese Vertrauenskonfigurationsressource verwendet zu werden. Dieser Wert ist optional.

Vertrauenskonfiguration aktualisieren

Wenn Sie eine Vertrauenskonfiguration aktualisieren möchten, erstellen Sie eine weitere YAML-Datei für die Vertrauenskonfiguration, in der die neuen Parameter für die Vertrauenskonfiguration angegeben sind, und importieren Sie diese Datei in Zertifikatmanager.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Trust-Konfigurationen auf.

    Zum Zertifikatmanager

  2. Suchen Sie die Vertrauenskonfiguration, die Sie aktualisieren möchten, und wählen Sie sie aus.

  3. Klicken Sie in der Spalte Weitere Optionen bei der Konfiguration, die Sie aktualisieren möchten, auf Weitere Aktionen und wählen Sie dann Bearbeiten aus.

  4. Nehmen Sie die erforderlichen Änderungen vor.

  5. Klicken Sie auf Speichern.

Prüfen Sie, ob die Konfigurationsänderungen aktualisiert wurden.

gcloud

  1. Exportieren Sie die YAML-Datei mit der Vertrauenskonfiguration.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID Ihres Google Cloud -Projekts.
    • TRUST_CONFIG_FILE: Der vollständige Pfad und Name der YAML-Datei für die Vertrauenskonfiguration.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

  2. Bearbeiten Sie die YAML-Datei der Vertrauenskonfiguration.

    Die Datei hat das folgende Format:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
    • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
    • ALLOWLISTED_CERT1 und ALLOWLISTED_CERT2: die Zertifikate, die einer Zulassungsliste hinzugefügt werden, die für diese Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.

  3. Importieren Sie die neue Vertrauenskonfigurationsdatei in den Zertifikatsmanager für den vorhandenen Ressourcennamen der Vertrauenskonfiguration.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Ersetzen Sie Folgendes:

    • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
    • PROJECT_ID: ID Ihres Google Cloud -Projekts.
    • TRUST_CONFIG_FILE: Der vollständige Pfad und Name der YAML-Datei für die Vertrauenskonfiguration.
    • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der standardmäßige Standort ist global.

API

Stellen Sie eine PATCH-Anfrage an die Methode trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID Ihres Google Cloud -Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • DESCRIPTION: eine aussagekräftige Beschreibung für diese Vertrauenskonfigurationsressource. Diese Beschreibung ist optional.
  • CERTIFICATE_PEM_PAYLOAD: Die vollständige PEM-Nutzlast für das Zertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll.
  • INTER_CERT_PEM_PAYLOAD: die vollständige PEM-Nutzlast für das Zwischenzertifikat, das für die Vertrauenskonfigurationsressource verwendet werden soll. Dieser Wert ist optional.
  • ALLOWLISTED_CERT: Das Zertifikat, das einer Zulassungsliste hinzugefügt wird, um für diese Vertrauenskonfigurationsressource verwendet zu werden. Dieser Wert ist optional.

Konfigurationen von Vertrauensstellungen auflisten

Sie können alle konfigurierten Vertrauenskonfigurationen Ihres Projekts sehen.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Trust-Konfigurationen auf.

    Zum Zertifikatmanager

  2. Auf dem Tab Vertrauenskonfigurationen sehen Sie eine Liste aller konfigurierten Vertrauenskonfigurationsressourcen im ausgewählten Projekt.

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs list aus:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Sortieren und Filtern von Listenergebnissen.

  • PAGE_SIZE: Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen

  • LIMIT: Maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Verwenden Sie - als Wert, um Vertrauenskonfigurationen aus allen Regionen aufzulisten. Der Standardwert ist -. Dieses Flag ist optional.

API

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID Ihres Google Cloud -Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Wenn Sie alle Vertrauenskonfigurationen an allen Standorten aufrufen möchten, geben Sie einen einzelnen Bindestrich (-) an.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Sortieren und Filtern von Listenergebnissen.

  • PAGE_SIZE: Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

Konfigurationen von Vertrauensstellungen ansehen

Sie können sich die Details einer bestimmten Vertrauenskonfiguration ansehen.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Trust-Konfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf die Vertrauenskonfigurationsressource, die Sie aufrufen möchten. Auf der Seite Details zur Konfiguration der Vertrauensstellung werden detaillierte Informationen zur ausgewählten Ressource für die Konfiguration der Vertrauensstellung angezeigt.

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs describe aus:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

API

Stellen Sie eine GET-Anfrage an die Methode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID Ihres Google Cloud -Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.

Vertrauenskonfiguration löschen

Bevor Sie eine Konfiguration der Vertrauensstellung löschen, müssen Sie sie von der Ressource „Client Authentication“ (ServerTlsPolicy) trennen.

Console

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Trust-Konfigurationen auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf das Kästchen neben der Vertrauenskonfiguration, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

Führen Sie den Befehl gcloud certificate-manager trust-configs delete aus:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ersetzen Sie Folgendes:

  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.

API

Stellen Sie eine DELETE-Anfrage an die Methode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ersetzen Sie Folgendes:

  • PROJECT_ID: ID Ihres Google Cloud -Projekts.
  • LOCATION: die Region, in der die Vertrauenskonfigurationsressource gespeichert ist. Der Standardspeicherort ist global.
  • TRUST_CONFIG_ID: die ID der Vertrauenskonfigurationsressource.

Nächste Schritte