Vom Kunden verwaltete Zertifizierungsstelle verwenden

Auf dieser Seite wird beschrieben, wie Sie die Option für die kundenverwaltete Zertifizierungsstelle (Certificate Authority, CA) als Server-CA-Modus für Ihre Cloud SQL-Instanz verwenden.

Übersicht

Bei der Option „Vom Kunden verwaltete CA“ richten Sie Ihren eigenen CA-Pool und Ihre eigene CA in Certificate Authority Service (CA Service) ein. Wenn Sie die Option für die kundenverwaltete Zertifizierungsstelle auswählen, richten Sie die CA-Hierarchie ein und verwalten die Rotation von CA-Zertifikaten für Ihre Cloud SQL-Instanzen.

Bevor Sie eine Cloud SQL-Instanz für die Verwendung der Option „Vom Kunden verwaltete CA“ konfigurieren können, müssen Sie mit CA Service einen CA-Pool in derselben Region wie Ihre Instanz und mindestens eine CA in diesem Pool erstellen. Die CA kann eine Stamm-CA oder eine untergeordnete CA sein. Sie haben auch die Möglichkeit, eine untergeordnete CA in CA Service zu erstellen und sie dann mit einer externen Stamm-CA zu verketten. Wenn Sie die Instanz konfigurieren, geben Sie den CA-Pool an. Ihre Anfrage wird an ein projektspezifisches Dienstkonto delegiert, das die Berechtigung hat, den CA-Pool zu verwenden. Das Dienstkonto fordert eine CA aus dem Pool an und Cloud SQL verwendet diese CA, um das Serverzertifikat für die Instanz zu signieren.

Für den Server-CA-Modus für Ihre Instanz in Cloud SQL haben Sie die folgenden drei Optionen:

  • interne Zertifizierungsstelle pro Instanz
  • Von Google verwaltete gemeinsame Zertifizierungsstelle
  • Kundenverwaltete Zertifizierungsstelle

Sie können die Option „Vom Kunden verwaltete Zertifizierungsstelle“ auswählen, wenn Sie aus Compliance-Gründen Ihre eigene Zertifizierungsstelle verwalten müssen. Weitere Informationen zur Verwendung der anderen Optionen finden Sie unter Mit SSL/TLS-Zertifikaten autorisieren.

Workflow

Wenn Sie die Option „Vom Kunden verwaltete Zertifizierungsstelle“ verwenden möchten, gehen Sie so vor:

  1. Erstellen Sie ein Dienstkonto für Ihr Cloud SQL-Projekt.
  2. Erstellen Sie einen CA-Pool im CA-Dienst.
  3. Erstellen Sie eine CA in CA Service.
  4. Konfigurieren Sie die Cloud SQL-Instanz für die Verwendung der Zertifizierungsstelle. Wenn Sie Ihre Instanz konfigurieren, delegieren Sie die Berechtigung an das Dienstkonto, das Serverzertifikat mit dem von Ihnen erstellten CA-Pool zu signieren.

Hinweise

Bevor Sie die Option „Vom Kunden verwaltete CA“ verwenden, müssen Sie die folgenden Anforderungen erfüllen.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen für jedes einzelne Projekt die IAM-Rolle Dienstkonto-Ersteller (roles/iam.serviceAccountCreator) zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Cloud SQL-spezifischen Dienstkontos benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „CA Service Operation Manager“ (roles/privateca.caManager) für CA Service zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines CA-Pools und einer Zertifizierungsstelle benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Projektspezifisches Dienstkonto erstellen

Erstellen Sie in dem Projekt, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten, ein dediziertes Dienstkonto, das die Anfrage zum Erstellen und Signieren der Serverzertifikate für Ihre Cloud SQL-Instanzen verarbeitet.

gcloud

Führen Sie den folgenden Befehl aus, um ein Dienstkonto für Ihr Cloud SQL-Projekt zu erstellen:

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.

Mit dem Befehl wird ein Dienstkonto mit dem Namen service-PROJECT_ID@gcp-sa-cloud-sql.iam.gserviceaccount.com im Projekt erstellt. Notieren Sie sich den Namen des Dienstkontos CA Service-Zertifikatsanfragesteller.

CA-Pool erstellen

Erstellen Sie einen CA-Pool im CA-Dienst.

Sie können einen CA-Pool im selben Projekt erstellen, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten, oder in einem anderen Projekt. Wenn Sie den CA-Pool jedoch in einem anderen Projekt erstellen, können Sie je nach Organisationsrichtlinie möglicherweise keine Cloud SQL-Instanzen erstellen. Um das Problem zu beheben, müssen Sie dafür sorgen, dass das Projekt, in dem sich der CA-Pool und die CA befinden, und das Projekt, in dem sich Cloud SQL befindet, zum selben Dienstperimeter gehören. Weitere Informationen finden Sie unter Dienstperimeter und Dienstperimeter verwalten.

Folgen Sie der Anleitung unter CA-Pool erstellen, um einen CA-Pool zu erstellen. Sie können die Standardwerte für den CA-Pool mit den folgenden erforderlichen Konfigurationseinstellungen akzeptieren:

  • Erstellen Sie den CA-Pool in derselben Region, in der Sie Ihre Cloud SQL-Instanz erstellen möchten. Eine Liste der von Cloud SQL unterstützten Regionen finden Sie unter Regionen.
  • Konfigurationsbasierte Zertifikatsanfragen zulassen.
  • DNS-Namen in alternativen Antragstellernamen (Subject Alternative Names, SANs) zulassen Wenn Sie die Identitätseinschränkungen des CA-Pools konfigurieren, legen Sie keine Einschränkungen für das Format der DNS-Namen fest, die mit dem in Konflikt stehen könnten, was Cloud SQL dem SAN hinzufügt.

Dienstkonto Zugriff auf den CA-Pool gewähren

Damit das Dienstkonto die Berechtigungen zum Anfordern und Signieren von Zertifikaten für Ihre Cloud SQL-Instanzen hat, weisen Sie dem Dienstkonto für den von Ihnen erstellten CA-Pool die folgende Rolle zu:

  • roles/privateca.certificateRequester

gcloud

Führen Sie den Befehl gcloud privateca pools aus, um dem Dienstkonto Zugriff auf den CA-Pool zu gewähren:

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Ersetzen Sie die folgenden Werte:

  • CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.
  • Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben.
  • SERVICE_ACCOUNT_NAME durch den Namen des Dienstkontos CA Service Certificate Requester, das Sie zuvor für das Projekt erstellt haben.

CA im CA-Pool erstellen

Erstellen Sie mindestens eine CA im erstellten CA-Pool.

Sie können eine Stamm-CA oder eine untergeordnete CA erstellen.

Folgen Sie der Anleitung unter Stamm-CA erstellen, um eine Stamm-CA zu erstellen. Sie können die Standardwerte für die CA übernehmen, müssen aber darauf achten, dass Sie die CA im Status Aktiviert erstellen.

Wenn Sie die Größe und den Algorithmus von CA-Schlüsseln konfigurieren, können Sie eine beliebige Schlüsselgröße und einen beliebigen Algorithmus auswählen. Cloud SQL generiert seine Serverzertifikate mit EC P-384 (SHA-384)-Elliptikkurvenschlüsseln. Die kryptografischen Schlüssel Ihrer Zertifizierungsstelle müssen jedoch nicht übereinstimmen.

Wenn Sie eine untergeordnete CA erstellen, müssen Sie zuerst Ihre Stamm-CA erstellen und konfigurieren.

Cloud SQL-Instanz für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle konfigurieren

Sie können eine Cloud SQL-Instanz so konfigurieren, dass beim Erstellen der Instanz die Option „Vom Kunden verwaltete CA“ verwendet wird. Sie können auch den Server-CA-Modus einer vorhandenen Instanz von der Verwendung der CA pro Instanz oder der freigegebenen CA-Option auf die Verwendung einer vom Kunden verwalteten CA umstellen.

Instanz erstellen

So erstellen Sie eine Cloud SQL-Instanz, die die Option „Kundenverwaltete CA“ verwendet:

Console

Sie können mit der Google Cloud Console keine Instanzen erstellen, die die Option „Vom Kunden verwaltete CA“ verwenden. Wenn Sie eine Instanz mit derGoogle Cloud -Konsole erstellen, ist der Standardmodus „CA pro Instanz“ (GOOGLE_MANAGED_INTERNAL_CA).

Verwenden Sie stattdessen den Befehl gcloud sql instances create, um einen kundenverwalteten CA-Modus auszuwählen.

gcloud

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

Ersetzen Sie die folgenden Werte:

  • INSTANCE_NAME durch den Namen der Cloud SQL-Instanz, die Sie erstellen möchten.
  • DATABASE_VERSION durch die enum der Version der Cloud SQL-Instanz, die Sie erstellen möchten.
  • Ersetzen Sie PROJECT_ID durch die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • PROJECT_ID_CAS durch die ID des Projekts, in dem Sie CA_POOL_ID erstellt haben. Dieses Projekt kann dasselbe sein wie das Projekt, in dem Sie Ihre Cloud SQL-Instanz erstellen möchten, oder ein anderes.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.

REST

Wenn Sie eine Cloud SQL-Instanz erstellen möchten, die die Option „Vom Kunden verwaltete CA“ verwendet, verwenden Sie die Methode instances.insert und geben Sie die folgenden Eigenschaften an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID ist die ID des Projekts, in dem Sie Ihre Cloud SQL-Instanzen erstellen möchten.
  • PROJECT_ID_CAS: die ID des Projekts, in dem Sie Ihre CA_POOL_ID erstellt haben. Dieses Projekt kann dasselbe sein wie das Projekt, in dem Sie Ihre Cloud SQL-Instanz erstellen möchten, oder ein anderes.
  • INSTANCE_ID ist der Name der Cloud SQL-Instanz, die Sie erstellen möchten.
  • REGION ist die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • CA_POOL_ID durch die ID des von Ihnen erstellten CA-Pools.

HTTP-Methode und URL: 

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

JSON-Text anfordern:

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Instanz aktualisieren, damit eine vom Kunden verwaltete Zertifizierungsstelle verwendet wird

Bevor Sie eine Instanz für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle aktualisieren, führen Sie die folgenden Schritte aus:

  • Sehen Sie sich die Liste der Google Cloud Dienste an, die keine Verbindungen zu Cloud SQL-Instanzen unterstützen, die für die Verwendung einer vom Kunden verwalteten Zertifizierungsstelle konfiguriert sind. Wenn für Ihre Bereitstellung die Verwendung des Dienstes erforderlich ist, müssen Sie das Update möglicherweise verzögern.
  • Wenn Sie den Cloud SQL Auth-Proxy oder einen der Cloud SQL Language Connectors verwenden, um eine Verbindung zur Instanz herzustellen, achten Sie darauf, dass die Mindestversionen ausgeführt werden. Wenn Sie den Cloud SQL Auth-Proxy verwenden, muss es Version 2.14.3 oder höher sein. Die erforderlichen Mindestversionen der Cloud SQL Language Connectors finden Sie unter Anforderungen an Cloud SQL Language Connectors.
  • Achten Sie darauf, dass Sie bereits einen CA-Pool erstellt und dem Dienstkonto Zugriff auf den CA-Pool gewährt haben.
  • Achten Sie darauf, dass sich mindestens eine Zertifizierungsstelle im Zertifizierungsstellenpool befindet.
  • Damit es nach dem Update nicht zu Unterbrechungen kommt, laden Sie die Zertifikate von Ihrer vom Kunden verwalteten Zertifizierungsstelle herunter und richten Sie Ihre Datenbankclients so ein, dass sie Ihrer Zertifizierungsstelle vertrauen.

Führen Sie die folgenden Schritte aus, um eine Cloud SQL-Instanz so zu aktualisieren, dass die Option „Vom Kunden verwaltete CA“ verwendet wird.

Console

Sie können den Server-CA-Modus einer Instanz nicht mit der Google Cloud Console bearbeiten.

Wenn Sie den Server-CA-Modus Ihrer Instanz aktualisieren möchten, um eine vom Kunden verwaltete CA zu verwenden, verwenden Sie stattdessen den Befehl gcloud sql instances patch. Nachdem Sie die Änderung vorgenommen haben, wird diese Konfiguration in der Google Cloud Console angezeigt, wenn Sie sich Ihre Instanz ansehen.

gcloud

Führen Sie den folgenden Befehl aus, um Ihre Instanz zu aktualisieren:

gcloud sql instances patch INSTANCE_NAME \
--server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
--server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

Geben Sie für das Flag --server-ca-mode den Wert CUSTOMER_MANAGED_CAS_CA an.

Ersetzen Sie Folgendes:

  • INSTANCE_NAME: Der Name der Cloud SQL-Instanz, die Sie patchen möchten.
  • PROJECT_ID_CAS durch die ID des Projekts, in dem sich Ihr CA_POOL_ID befindet. Dieses Projekt kann dasselbe sein wie das, in dem sich Ihre Cloud SQL-Instanz befindet, oder ein anderes.
  • REGION durch die Region, in der Sie den CA-Pool erstellt haben. Ihre Instanz muss sich in derselben Region wie der CA-Pool befinden.
  • CA_POOL_ID: Die ID des CA-Pools, den Sie der Instanz zuweisen möchten. Sie können diesen Befehl auch verwenden, um den CA-Pool für eine Instanz zu ändern, die bereits für die Verwendung vonCUSTOMER_MANAGED_CAS_CAkonfiguriert ist.

REST

Wenn Sie eine Cloud SQL-Instanz aktualisieren möchten, damit sie die Option „Vom Kunden verwaltete Zertifizierungsstelle“ verwendet, verwenden Sie die Methode instances.patch und geben Sie die folgenden Attribute an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID die ID des Projekts, in dem sich Ihre Cloud SQL-Instanz befindet.
  • INSTANCE_ID ist der Name der Cloud SQL-Instanz, die Sie patchen möchten.
  • PROJECT_ID_CAS: die ID des Projekts, in dem Sie Ihre CA_POOL_ID erstellt haben. Dieses Projekt kann mit dem Projekt, in dem sich Ihre Cloud SQL-Instanz befindet, identisch sein oder sich davon unterscheiden.
  • REGION ist die Region, in der Sie den CA-Pool erstellt haben. Sie müssen Ihre Instanz in derselben Region wie den CA-Pool erstellen.
  • CA_POOL_ID ist die ID des CA-Pools, den Sie der Instanz zuweisen möchten. Sie können diesen Befehl auch verwenden, um den CA-Pool für eine Instanz zu ändern, die bereits für die Verwendung von CUSTOMER_MANAGED_CAS_CA konfiguriert ist.

HTTP-Methode und URL: 

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

JSON-Text anfordern:

{
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Instanz von kundenverwalteter Zertifizierungsstelle auf freigegebene Zertifizierungsstelle umstellen

Sie können eine Instanz, die eine kundenverwaltete CA verwendet, so aktualisieren, dass sie eine gemeinsame CA (GOOGLE_MANAGED_CAS_CA) verwendet. Sie können jedoch keine Instanz, die für die Verwendung einer kundenverwalteten CA konfiguriert ist, so aktualisieren, dass sie die instanzspezifische CA (GOOGLE_MANAGED_INTERNAL_CA) verwendet.

Bevor Sie eine Instanz aktualisieren, damit sie eine freigegebene CA verwendet, müssen Sie die globalen und regionalen CA-Pakete herunterladen, sie auf Ihre Datenbankclients kopieren und diesen CAs vertrauen. Wenn Sie die Zertifikate einrichten, bevor Sie die Konfiguration des Server-CA-Modus ändern, können Sie potenzielle Unterbrechungen für Ihre Datenbankclients vermeiden.

So stellen Sie den Server-CA-Modus Ihrer Instanz auf die gemeinsame CA um:

Console

Sie können den Server-CA-Modus einer Instanz nicht mit der Google Cloud Console bearbeiten.

Wenn Sie den Server-CA-Modus Ihrer Instanz so aktualisieren möchten, dass eine gemeinsam genutzte CA anstelle einer vom Kunden verwalteten CA verwendet wird, verwenden Sie stattdessen den Befehl gcloud sql instances patch. Nachdem Sie die Änderung vorgenommen haben, wird diese Konfiguration in der Google Cloud Console angezeigt, wenn Sie sich Ihre Instanz ansehen.

gcloud

Führen Sie den folgenden Befehl aus, um Ihre Instanz zu aktualisieren:

gcloud sql instances patch INSTANCE_NAME \
--server-ca-mode=GOOGLE_MANAGED_CAS_CA \
--server-ca-pool=""

Gehen Sie im Befehl so vor:

  • Ersetzen Sie INSTANCE_NAME durch den Namen der Cloud SQL-Instanz, die Sie patchen möchten.
  • Geben Sie für das Flag --server-ca-mode den Wert GOOGLE_MANAGED_CAS_CA an.
  • Für das Flag --server-ca-pool müssen Sie einen leeren String oder "" angeben.

REST

Wenn Sie eine Cloud SQL-Instanz, die die vom Kunden verwaltete Zertifizierungsstelle verwendet, so aktualisieren möchten, dass sie die Option für die gemeinsame Zertifizierungsstelle verwendet, verwenden Sie die Methode instances.patch und geben Sie die folgenden Attribute an:

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID die ID des Projekts, in dem sich Ihre Cloud SQL-Instanz befindet.
  • INSTANCE_ID ist der Name der Cloud SQL-Instanz, die Sie patchen möchten.

HTTP-Methode und URL: 

PATCH https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID

JSON-Text anfordern:

{
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "",
         "serverCaMode": "GOOGLE_MANAGED_CAS_CA"
      }
   }
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Fehlerbehebung

Problem Fehlerbehebung

Sie erhalten die folgende Fehlermeldung:

PERMISSION_DENIED: Permission privateca.certificates.create denied on CA_POOL_ID. 		Achten Sie darauf, dass Sie dem Dienstkonto, das Sie für Ihr Cloud SQL-Projekt erstellt haben, die Rolle roles/privateca.certificateRequester zugewiesen haben. Weitere Informationen finden Sie unter Dienstkonto Zugriff auf den CA-Pool gewähren.

Sie erhalten die folgende Fehlermeldung:

PERMISSION_DENIED: Request is prohibited by organization's policy vpcServiceControlsUniqueIdentifier VPC_SERVICE_CONTROLS_UNIQUE_IDENTIFIER. 		Konfigurieren Sie VPC Service Controls so, dass das Projekt, in dem sich der CA-Pool und die CA des CA Service befinden, und das Projekt, in dem sich Cloud SQL befindet, zum selben Dienstperimeter gehören. Weitere Informationen finden Sie unter Dienstperimeter und Dienstperimeter verwalten.

Sie erhalten eine der folgenden INVALID ARGUMENT-Fehlermeldungen:

  • Public key algorithm is not permitted by the CaPool's issuance policy.
  • This CaPool's issuance policy does not permit passthrough subjects and/or subject alternative names, and thus can only be used with the REFLECTED_SPIFFE subject mode.
  • Config issuance mode is not permitted by the CaPool's issuance policy.

Prüfen Sie die Konfigurationseinstellungen Ihres CA-Pools und Ihrer CA. Prüfen Sie, ob Sie alle Anforderungen erfüllen, die unter CA-Pool erstellen und CA im CA-Pool erstellen aufgeführt sind.

Sie erhalten die folgende Fehlermeldung:

RESOURCE_EXHAUSTED

 Dies weist auf Kontingentprobleme mit CA Service hin. Prüfen Sie das Kontingent für CA Service in Ihrem Projekt. Prüfen Sie, ob Sie möglicherweise Anfragen in Ihrem CA-Pool außerhalb von Cloud SQL verwenden. Weitere Informationen finden Sie unter Kontingente und Limits.

Sie erhalten die folgende Fehlermeldung:

NOT FOUND: parent resource CA_POOL_ID not found. 		Prüfen Sie die Projekt-ID, den Standort und den Namen des CA-Pools, den Sie beim Erstellen Ihrer Cloud SQL-Instanz angegeben haben. Achten Sie darauf, dass Sie keine Tippfehler gemacht haben.

Sie erhalten die folgende Fehlermeldung:

FAILED_PRECONDITION: There are no enabled CAs in the CaPool. Please ensure that there is at least one enabled Certificate Authority to issue a certificate. 		Sie müssen mindestens eine CA in dem CA-Pool erstellt haben, den Sie beim Erstellen der Cloud SQL-Instanz angegeben haben. Außerdem muss die CA aktiviert sein.

Sie erhalten die folgende Fehlermeldung:

FAILED_PRECONDITION: Per-Product Per-Project Service Account (P4 SA) SERVICE_ACCOUNT_NAME not found for project PROJECT_ID. 		Prüfen Sie, ob Sie das Dienstkonto für Ihr Cloud SQL-Projekt erstellt haben. Weitere Informationen finden Sie unter Projektspezifisches Dienstkonto erstellen.

Sie erhalten die folgende Fehlermeldung:

INVALID ARGUMENT: Invalid format for server CA pool.

Achten Sie darauf, dass Sie den CA-Pool im richtigen Format angegeben haben:

projects/PROJECT_ID/locations/REGION/caPools/CA_POOL_ID

Sie erhalten die folgende Fehlermeldung:

INVALID ARGUMENT: The instance's server CA pool must be in the same region as the instance.

Der CA-Pool muss sich in derselben Region wie die Cloud SQL-Instanz befinden, die Sie erstellen möchten.

Nächste Schritte