Zertifikate überwachen

Das Übersichts-Dashboard des Zertifikatmanagers (2. Generation) hilft Ihnen, eine sichere und fehlerfreie Zertifikatumgebung zu verwalten. Sie können das Dashboard verwenden, um ablaufende Zertifikate zu identifizieren, Ihre Sicherheitslage zu prüfen und Trends bei der Ausstellung zu verfolgen.

Das Übersichts-Dashboard enthält die folgenden Monitoring-Diagramme:

• Anzahl der in den letzten 7 Tagen ausgestellten Zertifikate: Verfolgt die Gesamtzahl der in den letzten 7 Tagen ausgestellten Zertifikate.
• Nach Zertifizierungsstellentyp ausgestellte Zertifikate: Gruppiert Zertifikate nach Zertifizierungsstellentyp (öffentlich, privat oder unbekannt).
• Nach Standort ausgestellte Zertifikate: Sortiert Zertifikate geografisch nach Bereitstellungsort.
• Ablaufende Zertifikate: Zeigt Zertifikate an, die innerhalb von 7 und 30 Tagen ablaufen.

Hinweis

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Certificate Authority Service, Certificate Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, damit Sie die Berechtigungen zum Überwachen von Zertifikaten haben:

• Zertifikatmanager-Betrachter (roles/certificatemanager.viewer)
• Monitoring Viewer (roles/monitoring.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Übersichts-Dashboard aufrufen

So rufen Sie das Dashboard auf und sehen sich Ihre Zertifikatsmesswerte an:

1. Rufen Sie in der Google Cloud Console die Seite Zertifikatmanager auf.

   Zum Übersichts-Dashboard des Zertifikatmanagers

2. Optional: Wenn Sie den Zeitraum anpassen möchten, verwenden Sie die Zeitauswahl oben rechts auf dem Dashboard. Standardmäßig werden auf dem Dashboard Messwerte für die letzten 7 Tage angezeigt.

Die Dashboarddaten werden alle 24 Stunden aktualisiert.

Zertifikatszustand und Ablauf überwachen

Das Dashboard enthält Messwerte, die speziell auf Zertifikate mit langer Gültigkeitsdauer ausgerichtet sind. Das sind Zertifikate mit einer Gültigkeitsdauer von mehr als 72 Stunden.

Der Zertifikatmanager (2. Generation) schließt Zertifikate mit kurzer Gültigkeitsdauer (weniger als 72 Stunden) aus, da sie häufig automatisch rotiert werden und nicht die gleiche manuelle Überwachung wie Zertifikate mit langer Gültigkeitsdauer erfordern.

So überwachen Sie ablaufende Zertifikate, bei denen manuell eingegriffen werden muss:

1. Suchen Sie auf dem Dashboard das Diagramm Ablaufende Zertifikate.
2. Prüfen Sie die Warnungen für Zertifikate, die bald ablaufen.
3. Wenn Sie eine Ablaufwarnung erhalten, suchen Sie in Ihrem Inventar nach der Zertifikatsidentität, um zu prüfen, ob bereits ein Ersatz vorhanden ist. Weitere Informationen finden Sie unter Zertifikatsinventar filtern.

Zertifikatsinventar prüfen

Im Bereich Inventarmesswerte des Dashboards können Sie die aktiven Zertifikate in Ihrer Umgebung während des ausgewählten Zeitraums prüfen.

Prüfen Sie dazu die Zertifikate, die nach den folgenden Kriterien kategorisiert sind:

• Aktive Zertifikate nach Ressource ansehen: Verfolgen Sie das Zertifikatsvolumen basierend auf der Google Cloud Ressource, die sie ausgestellt hat. Der Zertifikatmanager (2. Generation) identifiziert Zertifikate, die entweder von der verwalteten Arbeitslastidentität oder vom Load-Balancing ausgestellt wurden. Andere Zertifikate, die über den Certificate Authority Service ausgestellt wurden, werden als Nicht angegeben kategorisiert. Weitere Informationen finden Sie unter Unterstützte Dienste.
• Aktive Zertifikate nach Schlüsselalgorithmus ansehen: Prüfen Sie Ihre kryptografischen Standards, indem Sie Zertifikate nach ihrem Leaf-Schlüsselalgorithmus gruppieren (z. B. RSA oder ECDSA). So wird die Einhaltung der Sicherheitsrichtlinien Ihrer Organisation sichergestellt.
• Aktive Zertifikate nach Schlüsselnutzungsprofil ansehen: Gruppieren Sie Zertifikate nach ihrem Verwendungszweck. Der Zertifikatmanager kennzeichnet Zertifikate mit dem am besten passenden Profil. Wenn kein Profil bestimmt werden kann, wird es als Sonstiges bezeichnet.

Wenn Sie die spezifischen Zertifikate in einer dieser Kategorien ansehen möchten, klicken Sie auf Zertifikate ansehen , um die Inventarseite zu öffnen.

Trends bei der Zertifikatsausstellung verfolgen

Mit dem Diagramm Ausstellungsmesswerte können Sie beobachten, wie Ihre konfigurierten Dienste im Zeitverlauf Zertifikate generieren. So können Sie das Wachstum verfolgen und potenzielle Anomalien bei der Ausstellung erkennen.

Beobachten Sie die folgenden Messwerte, um Trends bei der Ausstellung zu verfolgen:

1. Nach Standort ausgestellte Zertifikate: Beobachten Sie die Anzahl der Zertifikate , die an den einzelnen Standorten ausgestellt wurden, um die geografische Verteilung Ihres Zertifikatsvolumens zu sehen.
2. Nach Zertifizierungsstellentyp ausgestellte Zertifikate: Beobachten Sie die Anzahl der Zertifikate, die von öffentlichen Zertifizierungsstellen (z. B. Public Certificate Authority) im Vergleich zu privaten Zertifizierungsstellen (z. B. CA Service) ausgestellt wurden.
3. Insgesamt ausgestellte Zertifikate: Beobachten Sie das Gesamtvolumen der Zertifikate die im ausgewählten Zeitraum ausgestellt wurden, um den Umfang Ihrer Umgebung zu verstehen.

Nächste Schritte

• Funktionsweise des Zertifikatmanagers (2. Generation)
• Versionen des Zertifikatmanagers vergleichen
• Zertifikatsinventar ansehen
• Ausstellungskonfiguration erstellen
• Ressourcen mit Cloud Monitoring beobachten