CA-Pool erstellen
Auf dieser Seite wird beschrieben, wie Sie CA-Pools erstellen.
Ein CA-Pool ist eine Sammlung mehrerer Zertifizierungsstellen mit einem gemeinsamen Zertifikat Ausstellungsrichtlinie und IAM-Richtlinie (Identity and Access Management, Identitäts- und Zugriffsverwaltung). Ein Zertifizierungsstellenpool Das CA-Rotationsmanagement ist einfacher und ermöglicht eine höhere Gesamteffizienz. Abfragen pro Sekunde (Queries per Second, QPS).
Sie müssen einen CA-Pool erstellen, bevor Sie Certificate Authority Service zum Erstellen einer Zertifizierungsstelle verwenden können. Weitere Informationen finden Sie unter Übersicht über CA-Pools.
Hinweise
Prüfen Sie, ob CA Service Operation Manager installiert ist
(roles/privateca.caManager
) IAM-Rolle. Informationen zu
einem Hauptkonto eine IAM zuweisen, siehe Einzelnen Zugriff
Rolle.
Einstellungen des Zertifizierungsstellenpools festlegen
In diesem Abschnitt werden die Einstellungen eines Zertifizierungsstellenpools beschrieben und Empfehlungen gegeben. zur Festlegung der Einstellungen.
Einstellungen für permanenten CA-Pool
Die folgenden Einstellungen für den Zertifizierungsstellenpool können nach dem Erstellen des Zertifizierungsstellenpools nicht mehr geändert werden.
- Standort
Geben Sie den Speicherort des Zertifizierungsstellenpools an. Ein CA-Pool wird in einem Google Cloud-Standort: Wir empfehlen Ihnen, Erstellen Sie den Zertifizierungsstellenpool am selben Standort oder in der Nähe des gewünschten Standorts. um sie zu verwenden.
Eine vollständige Liste der unterstützten Standorte finden Sie unter Standorte.
- Stufe
Wählen Sie aus, ob Sie den CA-Pool mit den DevOps- oder Enterprise-Versionen erstellen möchten Stufe. Diese Auswahl wirkt sich darauf aus, ob der Zertifizierungsstellendienst den erstellten ob erstellte Zertifikate später widerrufen werden können und Maximale Rate, mit der Sie Zertifikate aus den Zertifizierungsstellen im CA-Pool erstellen können. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.
Optionale Einstellungen für CA-Pool
- Richtlinie zur Zertifikatsausstellung
Ein CA-Pool kann eine Richtlinie zur Zertifikatsausstellung haben. Mit dieser Ausstellungsrichtlinie werden die Zertifikate eingeschränkt, die die Zertifizierungsstellen im CA-Pool ausstellen dürfen. Sie können die Ausstellungsrichtlinie eines Zertifizierungsstellenpools aktualisieren, nachdem Sie den CA-Pool erstellt haben. Weitere Informationen finden Sie unter Vorlagen und Ausstellungsrichtlinien.
Weitere Informationen zum Konfigurieren einer Richtlinie für die Zertifikatsausstellung finden Sie unter Fügen Sie einem CA-Pool eine Richtlinie zur Zertifikatsausstellung hinzu.
- Veröffentlichungsoptionen
Sie können einen CA-Pool so konfigurieren, dass die CA-Zertifikate für jede seiner CAs veröffentlicht werden. Beim Ausstellen eines Zertifikats ist die URL zu diesem CA-Zertifikat im Certificate als AIA-Erweiterung (Authority Information Access) verwendet.
CAs in CA-Pools der Enterprise-Stufe können berechtigt sein, Zertifikate zu veröffentlichen Sperrlisten (CRLs) für den zugehörigen Cloud Storage-Speicher Bucket. Beim Ausstellen eines Zertifikats wird eine URL zu dieser Zertifikatssperrliste im als CDP-Erweiterung (CRL Distribution Point) verwenden. Sie können Folgendes nicht finden: die Zertifikatssperrliste ohne die CDP-Erweiterung im Zertifikat. Weitere Informationen Siehe Zertifikate widerrufen.
Sie können auch das Codierungsformat veröffentlichter CA-Zertifikate und Zertifikatssperrlisten. Die unterstützten Codierungsformate sind Privacy Enhanced Mail (PEM) und Distinguished Encoding Rules (DER) definiert. Wenn kein Codierungsformat angegeben ist, wird PEM verwendet.
Wenn Sie den Zertifizierungsstellenpool mit der Google Cloud CLI oder der Google Cloud Console erstellen, CA Service aktiviert diese Veröffentlichungsoptionen standardmäßig. Für Weitere Informationen finden Sie unter CA-Zertifikat und CRL-Veröffentlichung für Zertifizierungsstellen in einer Zertifizierungsstelle deaktivieren Pool hinzu.
CA-Pool erstellen
So erstellen Sie einen Zertifizierungsstellenpool:
Console
Namen für den Zertifizierungsstellenpool auswählen
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf CA-Poolmanager.
Klicken Sie auf
Pool erstellen.Fügen Sie einen Namen für den Zertifizierungsstellenpool hinzu, der für die Region eindeutig ist.
Wählen Sie im Feld Region eine Region aus dem Drop-down-Menü aus. Weitere Informationen finden Sie unter Den besten Standort auswählen:
Wählen Sie entweder die Stufe „Enterprise“ oder die DevOps-Stufe aus. Weitere Informationen finden Sie unter Vorgangsstufen auswählen.
Klicken Sie auf Weiter.
Zulässige Schlüsselalgorithmen und Größen konfigurieren
Mit CA Service können Sie die Signaturalgorithmen für den Cloud KMS-Schlüssel, die die Zertifizierungsstellen im Zertifizierungsstellenpool unterstützen. Alle wichtigen Algorithmen sind standardmäßig zugelassen.
So schränken Sie die zulässigen Schlüssel in den vom CA-Pool ausgestellten Zertifikaten ein: Folgendes: Dies ist ein optionales Verfahren.
- Klicken Sie auf die Ein/Aus-Schaltfläche.
- Klicken Sie auf Element hinzufügen.
Wählen Sie in der Liste Typ den Schlüsseltyp aus.
So verwenden Sie RSA-Schlüssel:
- Optional: Fügen Sie die Modulo-Mindestgröße in Bit hinzu.
- Optional: Fügen Sie die maximale Modulo-Größe in Bit hinzu.
- Klicken Sie auf Fertig.
Wenn Sie Schlüssel für elliptische Kurven verwenden möchten, gehen Sie so vor:
- Optional: Wählen Sie in der Liste Typ der elliptischen Kurve das elliptische Element aus. Kurventyp.
- Klicken Sie auf Fertig.
Klicken Sie zum Hinzufügen eines weiteren zulässigen Schlüssels auf Element hinzufügen und wiederholen Sie Schritt 2.
Klicken Sie auf Weiter.
Methoden für Zertifikatsanfragen konfigurieren
Um die Methoden einzuschränken, mit denen Zertifikatsanforderer Fordern Sie Zertifikate aus dem CA-Pool an:
- Optional: Klicken Sie auf die Ein/Aus-Schaltfläche, um CSR-basierte Zertifikatsanfragen einzuschränken.
- Optional: Wenn Sie konfigurationsbasierte Zertifikatsanfragen einschränken möchten, klicken Sie auf das umschalten.
Veröffentlichungsoptionen konfigurieren
So konfigurieren Sie Veröffentlichungsoptionen:
- Optional: Veröffentlichung von CA-Zertifikaten in Cloud Storage nicht zulassen Bucket für die Zertifizierungsstellen im CA-Pool auf die Ein/Aus-Schaltfläche.
- Optional: Das Veröffentlichen von Zertifikatssperrlisten im Cloud Storage-Bucket für den Zertifizierungsstellen im CA-Pool auf die Ein/Aus-Schaltfläche.
Klicken Sie auf das Menü, um das Codierungsformat für veröffentlichte CA-Zertifikate und Zertifikatssperrlisten auszuwählen.
Klicken Sie auf Weiter.
So konfigurieren Sie Referenzwerte in den Zertifikaten, die vom CA-Pool ausgestellt werden: Folgendes:
- Klicken Sie auf die Ein/Aus-Schaltfläche.
- Klicken Sie auf Basiswerte konfigurieren.
Mit dieser Einstellung können Sie konfigurieren, wie der Schlüssel in kann das Zertifikat verwendet werden. Zu den Optionen für die Schlüsselverwendung gehören Schlüssel Verschlüsselung, Datenverschlüsselung, Zertifikatssignierung, CRL-Signierung und mehr.
Weitere Informationen finden Sie unter Schlüsselverwendung.
So definieren Sie die Basisschlüsselverwendungen:
- Optional: Klicken Sie im eingeblendeten Fenster auf die Ein/Aus-Schaltfläche, falls Basisschlüsselverwendungen für die Zertifikate angeben.
- Klicken Sie die Kästchen an, um festzulegen, wie der Schlüssel verwendet werden soll.
- Klicken Sie auf Weiter.
Sie können diese Einstellung verwenden, um detailliertere Szenarien auszuwählen, für die der Schlüssel die im Zertifikat enthalten sind, verwendet werden. Zu den Optionen gehören „Server“ Authentifizierung, Clientauthentifizierung, Codesignatur, E-Mail-Schutz mehr.
Erweiterte Schlüsselverwendungen werden mithilfe von Objektkennungen (OIDs) definiert. Wenn Sie keine die erweiterten Schlüsselverwendungen konfigurieren, sind alle Schlüsselnutzungsszenarien zulässig.
Weitere Informationen finden Sie unter Erweiterte Schlüsselnutzung.
So definieren Sie die erweiterten Schlüsselverwendungen:
- Optional: Zur Angabe der erweiterten Schlüsselverwendungen für die Zertifikate, die die CA-Pool-Probleme auf die Ein/Aus-Schaltfläche.
- Klicken Sie die Kästchen für die Szenarien der erweiterten Schlüsselverwendung an.
- Klicken Sie auf Weiter.
Die Erweiterung für Zertifikatrichtlinien im Zertifikat drückt die Richtlinien aus. dem der ausstellende Zertifizierungsstellenpool folgt. Diese Erweiterung kann Informationen darüber enthalten, vor der Zertifikatsausstellung validiert werden, wie Zertifikate und wie die Integrität des CA-Pools sichergestellt wird. Mit dieser Erweiterung können Sie Prüfen Sie die Zertifikate, die der CA-Pool ausstellt, und prüfen Sie, wie die Zertifikate verwendet werden.
Weitere Informationen finden Sie unter Zertifikatsrichtlinien.
So legen Sie die Richtlinie fest, die die Zertifikatnutzung definiert:
- Optional: Geben Sie im Feld Richtlinien-IDs die Richtlinien-ID ein.
- Klicken Sie auf Weiter.
Die AIA-Erweiterung in einem Zertifikat stellt die folgenden Informationen bereit:
- Adresse der OCSP-Server, auf denen Sie den Widerrufsstatus prüfen können des Zertifikats an.
- Die Zugriffsmethode für den Aussteller des Zertifikats.
Weitere Informationen finden Sie unter Zugriff auf Zertifizierungsstelleninformationen.
Um die OCSP-Server hinzuzufügen, die im AIA-Erweiterungsfeld in der für Zertifikate, gehen Sie so vor: Das folgende Verfahren ist optional.
- Optional: Klicken Sie auf Element hinzufügen.
- Geben Sie im Feld Server-URL die URL des OCSP-Servers ein.
- Klicken Sie auf Fertig.
- Klicken Sie auf Weiter.
So konfigurieren Sie zusätzliche benutzerdefinierte Erweiterungen für die Zertifikate, die vom CA-Pool ausgestellt wurden, gehen Sie so vor: Gehen Sie so vor ist optional.
- Klicken Sie auf Zeile hinzufügen.
- Geben Sie im Feld Objekt-ID eine gültige Objekt-ID ein, die als durch Punkte getrennte Ziffern formatiert.
- Geben Sie im Feld Wert den base64-codierten Wert für die Kennung ein.
- Wenn die Erweiterung kritisch ist, wählen Sie Erweiterung ist kritisch aus.
Klicken Sie auf Fertig, um alle Grundwertkonfigurationen zu speichern.
Einschränkungen für Erweiterungen konfigurierenUm zu verhindern, dass alle Erweiterungen aus Zertifikatsanfragen in die ausgestellten Zertifikate auf die Ein/Aus-Schaltfläche.
Nachdem Sie auf die Ein/Aus-Schaltfläche geklickt haben, sehen Sie die Seite Bekanntes Zertifikat Erweiterungen ein, mit dem Sie die Zertifikaterweiterungen auswählen können. Bis Wählen Sie die Zertifikatserweiterungen aus:
- Optional: Klicken Sie auf das Feld Bekannte Zertifikaterweiterungen und entfernen Sie das Häkchen aus dem Feld nicht benötigte Erweiterungen aus.
- Optional: Fügen Sie im Feld Benutzerdefinierte Erweiterungen die Objektkennungen hinzu. für Erweiterungen, die in die Zertifikate aufgenommen werden sollen, die der CA-Pool Probleme.
Um Einschränkungen für den Betreff und die SANs in den Zertifikaten zu konfigurieren, Probleme mit dem Zertifizierungsstellenpool auftreten, gehen Sie so vor:
- Optional: Übergabe von Antragsteller in Zertifikatsanfragen unterbinden klicken Sie auf die Ein/Aus-Schaltfläche.
- Optional: Alternative Antragstellernamen in Zertifikatsanfragen nicht zulassen klicken Sie auf die Ein/Aus-Schaltfläche.
- Optional: Fügen Sie einen CEL-Ausdruck (Common Expression Language) hinzu, der eingefügt werden soll Einschränkungen hinsichtlich Zertifikatsinhabern. Weitere Informationen finden Sie unter CEL verwenden:
- Klicken Sie auf Weiter.
Weitere Informationen zum Konfigurieren zusätzlicher Parameter in der Richtlinie zur Zertifikatsausstellung Siehe IssuancePolicy.
Klicken Sie zum Erstellen des Zertifizierungsstellenpools auf Fertig.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools create POOL_NAME
Ersetzen Sie POOL_NAME durch den Namen des Zertifizierungsstellenpools.
Wenn Sie nicht angeben, welche Stufe für Ihren Zertifizierungsstellenpool erforderlich ist, gibt der Enterprise
Stufe ist standardmäßig ausgewählt. Wenn Sie die Stufe für Ihre
führen Sie den folgenden gcloud
-Befehl aus:
gcloud privateca pools create POOL_NAME --tier=TIER_NAME
Ersetzen Sie Folgendes:
- POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
- TIER_NAME: entweder
devops
oderenterprise
. Für Weitere Informationen finden Sie unter Vorgangsstufen auswählen.
Wenn Sie für Ihren CA-Pool kein Codierungsformat für die Veröffentlichung angeben, wird der PEM
Das Codierungsformat für die Veröffentlichung ist standardmäßig ausgewählt. Wenn du das Codierungsformat der Veröffentlichung für deine
führen Sie den folgenden gcloud
-Befehl aus:
gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Ersetzen Sie Folgendes:
- POOL_NAME: Der Name Ihres Zertifizierungsstellenpools.
- PUBLISHING_ENCODING_FORMAT: entweder
PEM
oderDER
.
Weitere Informationen zum Befehl gcloud privateca pools create
finden Sie unter
gcloud privatecapools create verwenden.
Informationen zum Festlegen von Einschränkungen für den Zertifikatstyp Weitere Informationen finden Sie unter Einem CA-Pool eine Richtlinie zur Zertifikatsausstellung hinzufügen.
Terraform
Go
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST API
Erstellen Sie einen Zertifizierungsstellenpool.
HTTP-Methode und URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID
JSON-Text anfordern:
{ "tier": "ENTERPRISE" }
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Fragen Sie den Vorgang ab, bis er abgeschlossen ist.
Der Vorgang ist abgeschlossen, wenn das Attribut
done
des lang andauernden Vorgangs ist auftrue
festgelegt.HTTP-Methode und URL:
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Sie sollten in etwa folgende JSON-Antwort erhalten:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool", "name": "...", "tier": "ENTERPRISE" } }
Labels für CA-Pool hinzufügen oder aktualisieren
Ein Label ist ein Schlüssel/Wert-Paar, mit dem Sie Ihren CA-Dienst organisieren können Ressourcen. Sie können Ihre Ressourcen anhand ihrer Labels filtern.
So fügen Sie einem CA-Pool Labels hinzu oder aktualisieren sie:
Console
So fügen Sie ein Label hinzu:
Rufen Sie die Seite Certificate Authority Service auf.
Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.
Klicken Sie auf Labels.
Klicken Sie auf
Label hinzufügen.Fügen Sie ein Schlüssel/Wert-Paar hinzu.
Klicken Sie auf Speichern.
So bearbeiten Sie ein vorhandenes Label:
Rufen Sie die Seite Certificate Authority Service auf.
Wählen Sie auf dem Tab CA-Poolmanager den Zertifizierungsstellenpool aus.
Klicken Sie auf Labels.
Bearbeiten Sie den Wert des Labels.
Klicken Sie auf Speichern.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --update-labels foo=bar
Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.
Nächste Schritte
- Root-Zertifizierungsstelle erstellen
- Weitere Informationen zum Erstellen einer untergeordneten Zertifizierungsstelle
- Weitere Informationen zur Verwendung einer Richtlinie zur Zertifikatsausstellung
- Durchsatz für die Zertifikaterstellung mithilfe von CA-Pools erhöhen
- CA-Pool aktualisieren und löschen