Auf dieser Seite wird beschrieben, wie Sie eine Konfiguration der Zertifikatsausstellung erstellen und verwalten.
Weitere Informationen zu Konfigurationen der Zertifikatsausstellung finden Sie unter Konfigurationen der Zertifikatsausstellung.
Konfiguration der Zertifikatsausstellung erstellen
Bevor Sie die Konfiguration der Zertifikatsausstellung erstellen, konfigurieren Sie die CA Service-Integration mit dem Zertifikatmanager.
Geben Sie zum Erstellen einer Konfiguration der Zertifikatsausstellung die Lebensdauer des Zertifikats, den Prozentsatz des Rotationsfensters, den Schlüsselalgorithmus und den zu verwendenden CA-Pool an.
Auch wenn Sie einen regionalen CA-Pool verwenden, um ein von Google verwaltetes TLS-Zertifikat auszustellen, kann das Zertifikat weltweit verwendet werden.
Console
Rufen Sie in der Google Cloud Console auf der Seite Zertifikatmanager den Tab Konfigurationen der Zertifikatsausstellung auf.
Klicken Sie auf Erstellen. Die Seite Konfiguration der Zertifikatsausstellung erstellen wird angezeigt.
Geben Sie im Feld Name einen eindeutigen Namen für die Konfiguration der Zertifikatsausstellung ein.
Optional: Geben Sie im Feld Beschreibung eine Beschreibung für die Konfiguration der Zertifikatsausstellung ein.
Wählen Sie unter Standort die Option Global oder Regional aus. Wenn Sie Regional ausgewählt haben, wählen Sie dieselbe Region wie für Ihr Zertifikat und Ihren CA-Pool aus.
Geben Sie im Feld Lebensdauer die Lebensdauer des ausgestellten Zertifikats in Tagen an. Der Wert muss zwischen 21 und 30 Tagen liegen.
Geben Sie unter Prozentsatz des Rotationsfensters den Prozentsatz der Lebensdauer des Zertifikats an, bei dem die Verlängerung beginnt. Informationen zum Bereich gültiger Werte finden Sie unter Lebensdauer und Prozentsatz des Rotationsfensters.
Wählen Sie in der Liste Schlüsselalgorithmus den Schlüsselalgorithmus aus, der beim Generieren des privaten Schlüssels verwendet werden soll.
Wählen Sie in der Liste CA-Pool den Namen des CA-Pools aus, der dieser Konfiguration der Zertifikatsausstellung zugewiesen werden soll.
Geben Sie im Feld Labels Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie zum Hinzufügen eines Labels auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.
Klicken Sie auf Erstellen.
gcloud
Verwenden Sie den
certificate-manager issuance-configs create
Befehl, um eine Konfiguration der Zertifikatsausstellung zu erstellen:
gcloud certificate-manager issuance-configs create ISSUANCE_CONFIG_NAME \
--ca-pool=CA_POOL \
--lifetime=CERTIFICATE_LIFETIME \
--rotation-window-percentage=ROTATION_WINDOW_PERCENTAGE \
--key-algorithm=KEY_ALGORITHM
[--location=LOCATION]
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME: der Name der Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.CA_POOL: der vollständige Ressourcenpfad und Name des CA-Pools, den Sie der Konfiguration der Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen im Format für die absolute Dauer. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Verlängerung. Der Standardwert ist 66%. Informationen zum Bereich gültiger Werte finden Sie unter [Lebensdauer und Prozentsatz des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.KEY_ALGORITHM: der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sindecdsa-p256oderrsa-2048. Der Standardwert istrsa-2048. Dieses Flag ist optional.LOCATION: der Ziel Google Cloud standort.
API
Erstellen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine POST-Anfrage an die Methode certificateIssuanceConfigs.create:
POST /v1/projects/PROJECT_ID/locations/LOCATION/certificateIssuanceConfigs?issuanceConfig_id=ISSUANCE_CONFIG_NAME
{
"name": "ISSUANCE_CONFIG_NAME",
"description": "DESCRIPTION",
"certificateAuthorityConfig": {
"certificateAuthorityServiceConfig": {
"caPool": "CA_POOL"
},
},
"lifetime": "CERTIFICATE_LIFETIME",
"rotationWindowPercentage": "ROTATION_WINDOW_PERCENTAGE",
"keyAlgorithm": "KEY_ALGORITHM",
}
Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Google Cloud Projekts.LOCATION: der Ziel Google Cloud standort.ISSUANCE_CONFIG_NAME: der Name der Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.DESCRIPTION: eine aussagekräftige Beschreibung für die Konfiguration der Zertifikatsausstellung.CA_POOL: der vollständige Ressourcenpfad und Name des CA-Pools, den Sie der Konfiguration der Zertifikatsausstellung zuweisen möchten.CERTIFICATE_LIFETIME: die Lebensdauer des Zertifikats in Tagen. Gültige Werte liegen zwischen 21 und 30 Tagen im Format für die absolute Dauer. Der Standardwert ist 30 Tage (30D). Dieses Flag ist optional.ROTATION_WINDOW_PERCENTAGE: der Prozentsatz der verbleibenden Lebensdauer des Zertifikats vor der Verlängerung. Der Standardwert ist 66%. Informationen zum Bereich gültiger Werte finden Sie unter [Lebensdauer und Prozentsatz des Rotationsfensters](#lifetime-rotation-percentage). Dieses Flag ist optional.KEY_ALGORITHM: der Verschlüsselungsalgorithmus, der zum Generieren des privaten Schlüssels verwendet wird. Gültige Werte sindecdsa-p256oderrsa-2048. Der Standardwert istrsa-2048. Dieses Flag ist optional.
Lebensdauer und Prozentsatz des Rotationsfensters
Wenn Sie eine Konfiguration der Zertifikatsausstellung erstellen, definieren Sie auch die Lebensdauer des Zertifikats im Feld Lebensdauer und den Zeitpunkt, zu dem die Verlängerung des Zertifikats beginnt, bevor es abläuft, im Feld Prozentsatz des Rotationsfensters.
Damit das Zertifikat mindestens sieben Tage vor Ablauf und sieben Tage nach der Ausstellung verlängert wird, legen Sie den Prozentsatz des Rotationsfensters relativ zur Lebensdauer des Zertifikats fest. Verwenden Sie die folgenden Formeln, um den zulässigen Bereich für den Prozentsatz des Rotationsfensters zu berechnen:
- Mindestwert: Prozentsatz des Rotationsfensters ≥ (7 / Lebensdauer) * 100
- Höchstwert: Prozentsatz des Rotationsfensters ≤ ( (Lebensdauer – 7) / Lebensdauer) * 100
In den vorherigen Formeln steht 7 für sieben Tage.
Wenn der Mindestwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl auf. Wenn der Höchstwert ein Dezimalwert ist, runden Sie ihn auf die nächste ganze Zahl ab.
Konfiguration der Zertifikatsausstellung aktualisieren
Wenn Sie eine Konfiguration der Zertifikatsausstellung aktualisieren, können Sie Folgendes tun:
- Neue Labels angeben
- Eine neue Beschreibung angeben
gcloud
Verwenden Sie den
certificate-manager issuance-configs update
Befehl, um eine Konfiguration der Zertifikatsausstellung zu aktualisieren:
gcloud certificate-manager issuance-configs update ISSUANCE_CONFIG_NAME
[--update-labels="LABELS"] \
[--description="DESCRIPTION"]
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME: der Name der Zielkonfiguration der Zertifikatsausstellung, die Sie aktualisieren möchten.LABELS: Labels, die Sie für die Konfiguration der Zertifikatsausstellung angeben möchten. Labels müssen in einer durch Kommas getrennten Liste alsKEY=VALUE-Paare angegeben werden. Dieses Feld ist optional.DESCRIPTION: die Beschreibung der Konfiguration der Zertifikatsausstellung. Dieses Feld ist optional.
API
Verwenden Sie die
certificateIssuanceConfigs.patch
Methode, um eine Konfiguration der Zertifikatsausstellung zu aktualisieren:
PATCH /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME?updateMask=labels,description
{
labels: { "LABEL_KEY": "LABEL_VALUE" },
description: "DESCRIPTION"
}
Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Google Cloud Projekts.ISSUANCE_CONFIG_NAME: der Name der Zielkonfiguration der Zertifikatsausstellung, die Sie aktualisieren möchten.LABEL_KEY: der Labelschlüssel. Dieses Feld ist optional.LABEL_VALUE: der Wert des Labels. Dieses Feld ist optional.DESCRIPTION: die Konfiguration der Zertifikatsausstellung.
Konfigurationen der Zertifikatsausstellung auflisten
Sie können alle Konfigurationen der Zertifikatsausstellung Ihres Projekts und ihre Details aufrufen.
Console
Rufen Sie in der Google Cloud Console auf der Seite Zertifikatmanager den Tab Konfigurationen der Zertifikatsausstellung auf.
Auf dem Tab Konfigurationen der Zertifikatsausstellung werden alle Konfigurationen der Zertifikatsausstellung angezeigt, die vom Zertifikatmanager im ausgewählten Projekt verwaltet werden.
gcloud
Verwenden Sie den
certificate-manager issuance-configs list
Befehl, um Konfigurationen der Zertifikatsausstellung aufzulisten:
gcloud certificate-manager issuance-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
[--location=LOCATION]
Ersetzen Sie Folgendes:
FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.LIMIT: die maximale Anzahl der Ergebnisse, die zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste vonname-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Für eine absteigende Sortierreihenfolge stellen Sie dem Feld eine Tilde (~) voran.LOCATION: der Ziel Google Cloud standort.
API
Listen Sie konfigurierte Konfigurationen der Zertifikatsausstellung auf. Stellen Sie dazu eine LIST-Anfrage an die Methode certificateIssuanceConfigs.list:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Google Cloud Projekts.FILTER: ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.Wenn Sie die Ergebnisse beispielsweise nach den Labels und der Erstellungszeit filtern möchten, können Sie Folgendes angeben:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Weitere Filterbeispiele, die Sie mit dem Zertifikatmanager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Listenergebnisse sortieren und filtern.
PAGE_SIZE: die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.SORT_BY: eine durch Kommas getrennte Liste vonname-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Für eine absteigende Sortierreihenfolge stellen Sie dem Feld eine Tilde (~) voran.
Status einer Konfiguration der Zertifikatsausstellung aufrufen
Console
Rufen Sie in der Google Cloud Console auf der Seite Zertifikatmanager den Tab Konfigurationen der Zertifikatsausstellung auf.
Klicken Sie auf den Namen der Konfiguration der Zertifikatsausstellung, die Sie aufrufen möchten. Auf der Seite Konfiguration der Zertifikatsausstellung werden detaillierte Informationen zur Konfiguration der Zertifikatsausstellung angezeigt.
gcloud
Verwenden Sie den
certificate-manager issuance-configs describe
Befehl, um den Status einer Konfiguration der Zertifikatsausstellung aufzurufen:
gcloud certificate-manager issuance-configs describe ISSUANCE_CONFIG_NAME
Ersetzen Sie ISSUANCE_CONFIG_NAME durch den Namen der Ressource für die Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
API
Rufen Sie den Status der Konfiguration der Zertifikatsausstellung auf. Stellen Sie dazu eine GET-Anfrage an die Methode certificateIssuanceConfigs.get:
GET /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Google Cloud Projekts.ISSUANCE_CONFIG_NAME: der Name der Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
Konfiguration der Zertifikatsausstellung löschen
Bevor Sie eine Konfiguration der Zertifikatsausstellung löschen, müssen Sie zuerst das von Google verwaltete Zertifikat löschen, das darauf verweist it.
Wenn Sie die letzte CA deaktivieren möchten, die Sie in einem CA-Pool aktiviert haben, auf den in der Konfiguration der Zertifikatsausstellung verwiesen wird, oder den CA-Pool vollständig löschen möchten, müssen Sie zuerst alle Konfigurationen der Zertifikatsausstellung löschen, die auf den CA-Pool verweisen.
Console
Rufen Sie in der Google Cloud Console auf der Seite Zertifikatmanager den Tab Konfigurationen der Zertifikatsausstellung auf.
Klicken Sie das Kästchen der Konfiguration der Zertifikatsausstellung an, die Sie löschen möchten.
Klicken Sie auf Löschen.
Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.
gcloud
Verwenden Sie den
certificate-manager issuance-configs delete
Befehl, um eine Konfiguration der Zertifikatsausstellung zu löschen:
gcloud certificate-manager issuance-configs delete ISSUANCE_CONFIG_NAME
[--location=LOCATION]
Ersetzen Sie Folgendes:
ISSUANCE_CONFIG_NAME: der Name der Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.LOCATION: der Ziel Google Cloud standort.
API
Löschen Sie die Konfiguration der Zertifikatsausstellung. Stellen Sie dazu eine DELETE-Anfrage an die Methode certificateIssuanceConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/global/certificateIssuanceConfigs/ISSUANCE_CONFIG_NAME
Ersetzen Sie Folgendes:
PROJECT_ID: die ID Ihres Google Cloud Projekts.ISSUANCE_CONFIG_NAME: der Name der Konfiguration der Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
Nächste Schritte
- Zertifikatmanager-Versionen vergleichen
- Zertifikatsinventar aufrufen
- Zertifikate überwachen
- Vertrauenskonfiguration erstellen