Diese Seite wurde von der Cloud Translation API übersetzt.

Zertifikat anfordern

Auf dieser Seite wird beschrieben, wie Sie eine Zertifikatsanfrage im Certificate Authority Service erstellen.

Sie haben folgende Möglichkeiten, ein Zertifikat anzufordern:

Generieren Sie einen eigenen privaten oder öffentlichen Schlüssel und reichen Sie eine CSR-Anfrage (Certificate Signing Request) ein.
Verwenden Sie einen privaten oder öffentlichen Schlüssel, der vom CA Service automatisch generiert wurde.
Einen vorhandenen Cloud Key Management Service-Schlüssel (Cloud KMS) verwenden.

Hinweise

Umgebung für den CA-Dienst vorbereiten
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „CA Service Certificate Requester“ (roles/privateca.certificateRequester) oder „CA Service Certificate Manager“ (roles/privateca.certificateManager) zuzuweisen, um die Berechtigungen zum Ausstellen von Zertifikaten zu erhalten.

Weitere Informationen zu den vordefinierten IAM-Rollen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.

Informationen zum Zuweisen einer IAM-Rolle an ein Hauptkonto finden Sie unter Einzelne Rolle zuweisen.

Zertifikat mit einer CSR anfordern

Um ein Zertifikat zu erhalten, generieren Sie eine CSR, mit der Sie das Zertifikat anfordern.

CSR generieren

Eine ausführliche Anleitung zum Generieren eines CSR mit OpenSSL finden Sie unter CSR mit OpenSSL generieren. Sie können auch die folgende Beispielkonfigurationsdatei als Referenz verwenden, wenn Sie Ihre CSR generieren.

So verwenden Sie die Beispielkonfigurationsdatei:

Erstellen Sie eine Konfigurationsdatei mit dem Namen csr.cnf und folgendem Inhalt:
```
cat << EOF > csr.cnf
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no

[req_distinguished_name]
CN = example.com

[v3_req]
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = example.com
DNS.2 = www.example.com
EOF
```
In diesem Beispiel wird ein 2048-Bit-RSA-Schlüssel (mit Passphrase verschlüsselt) und ein entsprechendes CSR generiert, das Folgendes enthält:
- das commonName-Attribut im DN des Subjekts
- die subjectAlternativeName-Erweiterung
- die keyUsage-Erweiterung (als kritisch gekennzeichnet)
- die extendedKeyUsage-Erweiterung
Ändern Sie die Parameter nach Bedarf. Informationen zum Definieren von Erweiterungen für X.509-Zertifikate und CSRs mit dem Konfigurationsdateiformat x509v3_config finden Sie in der OpenSSL-Dokumentation.
Führen Sie den folgenden openssl-Befehl aus, um eine CSR und einen entsprechenden privaten Schlüssel zu generieren:
```
openssl req -newkey rsa:2048 -out csr.pem -keyout key.pem -config csr.cnf
```
Mit diesem Befehl werden die folgenden Dateien generiert:
- csr.pem: Ihre CSR, die bei einer Zertifizierungsstelle eingereicht werden kann
- key.pem: Ihren privaten Schlüssel, den Sie sicher aufbewahren sollten
Verwenden Sie die Datei csr.pem in Ihrer Zertifikatsanfrage.

Zertifikatsanfrage mit dem CSR senden

So fordern Sie ein Zertifikat mithilfe der CSR an:

Console

Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

Zum Certificate Authority Service
Klicken Sie auf Zertifikat anfordern.
Wählen Sie eine Region aus. Die Region muss mit der Region des CA-Pools übereinstimmen, den Sie verwenden möchten.
Wählen Sie einen CA-Pool aus.
Optional: Wählen Sie eine bestimmte Zertifizierungsstelle aus dem CA-Pool aus. Wenn Sie eine bestimmte Zertifizierungsstelle für die Zertifikatsausstellung auswählen, entsteht eine Abhängigkeit von dieser Zertifizierungsstelle, was die Rotation der Zertifizierungsstellen erschwert.
Optional: Wählen Sie eine Zertifikatsvorlage aus. Wenn Sie eine Zertifikatsvorlage verwenden, achten Sie darauf, dass die Richtlinien der Zertifikatsvorlage nicht mit den Richtlinien des ausgewählten Zertifizierungsstellenpools in Konflikt stehen.
Klicken Sie auf Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) angeben und dann auf Weiter. Die Zertifikatsdetails werden angezeigt.
Optional: Wenn Sie den automatisch generierten Zertifikatnamen überschreiben möchten, geben Sie den benutzerdefinierten Namen in das Feld Zertifikatname ein. Nachdem das Zertifikat erstellt wurde, können Sie den Zertifikatsnamen nicht mehr löschen oder wiederverwenden.
Optional: Wenn Sie einen benutzerdefinierten Gültigkeitszeitraum für das Zertifikat auswählen möchten, geben Sie den Wert in das Feld Gültig bis ein.
Kopieren Sie die CSR-Anfrage und fügen Sie sie in das Feld Certificate CSR ein. Wenn Sie eine Datei mit dem CSR hochladen möchten, klicken Sie auf Durchsuchen und wählen Sie die Datei aus.
Klicken Sie auf Zertifikat generieren.

Signiertes Zertifikat herunterladen

Wenn Sie das generierte Zertifikat aufrufen möchten, klicken Sie auf Zertifikat anzeigen und dann auf Anzeigen.
Klicken Sie auf , um das Zertifikat zu kopieren. Wenn Sie das Zertifikat als .crt-Datei herunterladen möchten, klicken Sie auf Zertifikat herunterladen.
Optional: Klicken Sie auf Zertifikatskette herunterladen, um die Zertifikatskette herunterzuladen.

gcloud

gcloud privateca certificates create CERT_ID \
     --issuer-pool POOL_ID \
     --csr CSR_FILENAME \
     --cert-output-file CERT_FILENAME \
     --validity "P30D"

Ersetzen Sie Folgendes:

CERT_ID: Die eindeutige Kennung des Zertifikats.
POOL_ID: Der Name des CA-Pools.
CSR_FILENAME: Die Datei, in der die PEM-codierte CSR gespeichert ist.

Das Flag --validity gibt die Gültigkeitsdauer des Zertifikats an. Dies ist ein optionales Flag mit dem Standardwert „30 Tage“.

Weitere Informationen zum Befehl gcloud privateca certificates create finden Sie unter gcloud privateca certificates create.

Terraform

resource "google_privateca_certificate_authority" "test_ca" {
  pool                     = "my-pool"
  certificate_authority_id = "my-certificate-authority"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-certificate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        # is_ca *MUST* be true for certificate authorities
        is_ca = true
      }
      key_usage {
        base_key_usage {
          # cert_sign and crl_sign *MUST* be true for certificate authorities
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
          server_auth = false
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}


resource "google_privateca_certificate" "default" {
  pool                  = "my-pool"
  location              = "us-central1"
  certificate_authority = google_privateca_certificate_authority.test_ca.certificate_authority_id
  lifetime              = "860s"
  name                  = "my-certificate"
  pem_csr               = tls_cert_request.example.cert_request_pem
}

resource "tls_private_key" "example" {
  algorithm = "RSA"
}

resource "tls_cert_request" "example" {
  private_key_pem = tls_private_key.example.private_key_pem

  subject {
    common_name  = "example.com"
    organization = "ACME Examples, Inc"
  }
}

REST API

Generieren Sie eine CSR (Certificate Signing Request) mit Ihrer bevorzugten Methode, z. B. openssl.

Im Folgenden finden Sie ein Beispiel für ein CSR, das für JSON codiert ist.

Zertifikat anfordern

HTTP-Methode und URL:
```
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID
```
JSON-Text anfordern:
```
{
 "lifetime": {
   "seconds": 3600,
   "nanos": 0
 },
 "pem_csr": "PEM_CSR"
}
```
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID"
```
PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID" | Select-Object -Expand Content
```
Sie sollten in etwa folgende JSON-Antwort erhalten:
```
{
 "name": "projects/project-id/locations/location/certificateAuthorities/ca-id/certificates/certificate-id",
 "pemCertificate": "-----BEGIN CERTIFICATE-----...",
 "certificateDescription": {...}
}
```
Achtung: Wir empfehlen, keine Endentitätszertifikate von einer Stamm-CA auszustellen. Informationen zum Erstellen untergeordneter Zertifizierungsstellen finden Sie unter Zertifizierungsstellen erstellen.

Zertifikat mit einem automatisch generierten Schlüssel anfordern

Console

Mit der Google Cloud Console können Sie Client- oder Server-TLS-Zertifikate generieren.

Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

Zum Certificate Authority Service
Klicken Sie auf Zertifikat anfordern.
Wählen Sie eine Region aus. Die Region muss mit der Region des CA-Pools übereinstimmen, den Sie verwenden möchten.
Wählen Sie einen CA-Pool aus.
Klicken Sie auf Details manuell eingeben. Die Zertifikatsdetails werden angezeigt.
Optional: Ersetzen Sie den automatisch generierten Zertifikatsnamen durch einen benutzerdefinierten, eindeutigen Namen.
Optional: Wenn Sie einen benutzerdefinierten Gültigkeitszeitraum für das Zertifikat auswählen möchten, geben Sie den Wert in das Feld Gültig bis ein.

Domainnamen hinzufügen

Geben Sie unter Domainnamen hinzufügen im Feld Domainname 1 einen Domainnamen ein.
Optional: Wenn Sie mehrere Domainnamen hinzufügen möchten, klicken Sie auf Element hinzufügen und geben Sie im Feld Domainname 2 einen weiteren Domainnamen ein.

Erweiterte Schlüsselverwendung

Optional: Wählen Sie unter Erweiterte Schlüsselverwendung je nach Anwendungsfall eine der folgenden Optionen aus:
- Client-TLS: Mit diesen Zertifikaten können Sie die Identität eines Anfragenden authentifizieren.
- Server-TLS: Mit diesen Zertifikaten können Sie die Identität eines Servers authentifizieren.
Klicken Sie auf Weiter.

Schlüsselgröße und Algorithmus konfigurieren

Optional: Wählen Sie unter Schlüsselgröße und Algorithmus konfigurieren die Größe und den Algorithmus des Signaturschlüssels aus der Liste aus. Wenn Sie diesen Schritt überspringen, wird der RSASSA-PSS-2048-Bit-Schlüssel mit einem SHA-256-Digest verwendet. Informationen zum Auswählen eines Signaturschlüssels und -algorithmus finden Sie unter Schlüsselalgorithmus auswählen.
Klicken Sie auf Zertifikat generieren.

Signiertes Zertifikat herunterladen

Wenn Sie das generierte Zertifikat aufrufen möchten, klicken Sie auf Zertifikat anzeigen und dann auf Anzeigen.
Optional: Klicken Sie auf Zertifikatskette herunterladen, um die PEM-codierte Zertifikatskette herunterzuladen.
Optional: Klicken Sie auf Privaten Schlüssel herunterladen, um den zugehörigen PEM-codierten privaten Schlüssel herunterzuladen.

Wichtig :Nachdem Sie diese Seite verlassen haben, können Sie diesen Schlüssel nicht mehr abrufen. Bei diesem Schlüssel ist die Groß- und Kleinschreibung zu beachten. Wir empfehlen, den Schlüssel an einem sicheren Ort aufzubewahren.
Wichtig :Wenn Sie einen DevOps-CA-Pool verwenden, können Sie das erstellte Zertifikat nur jetzt herunterladen. Der CA-Dienst speichert den Inhalt des Zertifikats nicht über diesen Bildschirm hinaus.

gcloud

Wenn Sie die Funktion für automatisch generierte Schlüssel verwenden möchten, müssen Sie die Python Cryptographic Authority (PyCA)-Bibliothek installieren. Eine Anleitung zum Installieren der Pyca Cryptography-Bibliothek finden Sie unter Pyca Cryptography-Bibliothek einschließen.

Verwenden Sie den folgenden gcloud-Befehl, um ein Zertifikat zu erstellen:

gcloud privateca certificates create \
  --issuer-pool POOL_ID \
  --generate-key \
  --key-output-file KEY_FILENAME \
  --cert-output-file CERT_FILENAME \
  --dns-san "DNS_NAME" \
  --use-preset-profile "CERTIFICATE_PROFILE"

Ersetzen Sie Folgendes:

POOL_ID: Der Name des CA-Pools.
KEY_FILENAME: Der Pfad, in den die generierte private Schlüsseldatei geschrieben werden muss.
CERT_FILENAME: Der Pfad, unter dem die PEM-codierte Zertifikatskette geschrieben werden muss. Die Zertifikatskette ist von der Endentität bis zur Stamm-CA sortiert.
DNS_NAME: Ein oder mehrere durch Kommas getrennte alternative DNS-Inhabernamen (Subject Alternative Names, SANs).
CERTIFICATE_PROFILE: Die eindeutige Kennung des Zertifikatsprofils. Verwenden Sie beispielsweise leaf_server_tls für den TLS-Endempfängerserver.

Der Befehl gcloud verwendet die folgenden Flags:

--generate-key: Erzeugt einen neuen privaten RSA-2048-Schlüssel auf Ihrem Computer.

Sie können auch eine beliebige Kombination der folgenden Flags verwenden:

--dns-san: Hiermit können Sie eine oder mehrere durch Kommas getrennte DNS-SANs übergeben.
--ip-san: Hiermit können Sie eine oder mehrere durch Kommas getrennte IP-SANs übergeben.
--uri-san: Hiermit können Sie eine oder mehrere durch Kommas getrennte URI-SANs übergeben.
--subject: Damit können Sie einen X.501-Namen des Zertifikatsinhabers übergeben.

Weitere Informationen zum Befehl gcloud privateca certificates create finden Sie unter gcloud privateca certificates create.

Go

Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
	"google.golang.org/protobuf/types/known/durationpb"
)

// Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
// The key used to sign the certificate is created by the Cloud KMS.
func createCertificate(
	w io.Writer,
	projectId string,
	location string,
	caPoolId string,
	caId string,
	certId string,
	commonName string,
	domainName string,
	certDuration int64,
	publicKeyBytes []byte) error {
	// projectId := "your_project_id"
	// location := "us-central1"		// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"			// The CA Pool id in which the certificate authority exists.
	// caId := "ca-id"					// The name of the certificate authority which issues the certificate.
	// certId := "certificate"			// A unique name for the certificate.
	// commonName := "cert-name"		// A common name for the certificate.
	// domainName := "cert.example.com"	// Fully qualified domain name for the certificate.
	// certDuration := int64(31536000)	// The validity of the certificate in seconds.
	// publicKeyBytes 					// The public key used in signing the certificates.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	// Set the Public Key and its format.
	publicKey := &privatecapb.PublicKey{
		Key:    publicKeyBytes,
		Format: privatecapb.PublicKey_PEM,
	}

	// Set Certificate subject config.
	subjectConfig := &privatecapb.CertificateConfig_SubjectConfig{
		Subject: &privatecapb.Subject{
			CommonName: commonName,
		},
		SubjectAltName: &privatecapb.SubjectAltNames{
			DnsNames: []string{domainName},
		},
	}

	// Set the X.509 fields required for the certificate.
	x509Parameters := &privatecapb.X509Parameters{
		KeyUsage: &privatecapb.KeyUsage{
			BaseKeyUsage: &privatecapb.KeyUsage_KeyUsageOptions{
				DigitalSignature: true,
				KeyEncipherment:  true,
			},
			ExtendedKeyUsage: &privatecapb.KeyUsage_ExtendedKeyUsageOptions{
				ServerAuth: true,
				ClientAuth: true,
			},
		},
	}

	// Set certificate settings.
	cert := &privatecapb.Certificate{
		CertificateConfig: &privatecapb.Certificate_Config{
			Config: &privatecapb.CertificateConfig{
				PublicKey:     publicKey,
				SubjectConfig: subjectConfig,
				X509Config:    x509Parameters,
			},
		},
		Lifetime: &durationpb.Duration{
			Seconds: certDuration,
		},
	}

	fullCaPoolName := fmt.Sprintf("projects/%s/locations/%s/caPools/%s", projectId, location, caPoolId)

	// Create the CreateCertificateRequest.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCertificateRequest.
	req := &privatecapb.CreateCertificateRequest{
		Parent:                        fullCaPoolName,
		CertificateId:                 certId,
		Certificate:                   cert,
		IssuingCertificateAuthorityId: caId,
	}

	_, err = caClient.CreateCertificate(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCertificate failed: %w", err)
	}

	fmt.Fprintf(w, "Certificate %s created", certId)

	return nil
}

Java


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPoolName;
import com.google.cloud.security.privateca.v1.Certificate;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateConfig;
import com.google.cloud.security.privateca.v1.CertificateConfig.SubjectConfig;
import com.google.cloud.security.privateca.v1.CreateCertificateRequest;
import com.google.cloud.security.privateca.v1.KeyUsage;
import com.google.cloud.security.privateca.v1.KeyUsage.ExtendedKeyUsageOptions;
import com.google.cloud.security.privateca.v1.KeyUsage.KeyUsageOptions;
import com.google.cloud.security.privateca.v1.PublicKey;
import com.google.cloud.security.privateca.v1.PublicKey.KeyFormat;
import com.google.cloud.security.privateca.v1.Subject;
import com.google.cloud.security.privateca.v1.SubjectAltNames;
import com.google.cloud.security.privateca.v1.X509Parameters;
import com.google.cloud.security.privateca.v1.X509Parameters.CaOptions;
import com.google.protobuf.ByteString;
import com.google.protobuf.Duration;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCertificate {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.

    // publicKeyBytes: Public key used in signing the certificates.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique id for the CA pool.
    // certificateAuthorityName: The name of the certificate authority which issues the certificate.
    // certificateName: Set a unique name for the certificate.
    String project = "your-project-id";
    ByteString publicKeyBytes = ByteString.copyFrom(new byte[]{});
    String location = "ca-location";
    String poolId = "ca-poolId";
    String certificateAuthorityName = "certificate-authority-name";
    String certificateName = "certificate-name";

    createCertificate(
        project, location, poolId, certificateAuthorityName, certificateName, publicKeyBytes);
  }

  // Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
  // The public key used to sign the certificate can be generated using any crypto
  // library/framework.
  public static void createCertificate(
      String project,
      String location,
      String poolId,
      String certificateAuthorityName,
      String certificateName,
      ByteString publicKeyBytes)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      // commonName: Enter a title for your certificate.
      // orgName: Provide the name of your company.
      // domainName: List the fully qualified domain name.
      // certificateLifetime: The validity of the certificate in seconds.
      String commonName = "commonname";
      String orgName = "orgname";
      String domainName = "dns.example.com";
      long certificateLifetime = 1000L;

      // Set the Public Key and its format.
      PublicKey publicKey =
          PublicKey.newBuilder().setKey(publicKeyBytes).setFormat(KeyFormat.PEM).build();

      SubjectConfig subjectConfig =
          SubjectConfig.newBuilder()
              // Set the common name and org name.
              .setSubject(
                  Subject.newBuilder().setCommonName(commonName).setOrganization(orgName).build())
              // Set the fully qualified domain name.
              .setSubjectAltName(SubjectAltNames.newBuilder().addDnsNames(domainName).build())
              .build();

      // Set the X.509 fields required for the certificate.
      X509Parameters x509Parameters =
          X509Parameters.newBuilder()
              .setKeyUsage(
                  KeyUsage.newBuilder()
                      .setBaseKeyUsage(
                          KeyUsageOptions.newBuilder()
                              .setDigitalSignature(true)
                              .setKeyEncipherment(true)
                              .setCertSign(true)
                              .build())
                      .setExtendedKeyUsage(
                          ExtendedKeyUsageOptions.newBuilder().setServerAuth(true).build())
                      .build())
              .setCaOptions(CaOptions.newBuilder().setIsCa(true).buildPartial())
              .build();

      // Create certificate.
      Certificate certificate =
          Certificate.newBuilder()
              .setConfig(
                  CertificateConfig.newBuilder()
                      .setPublicKey(publicKey)
                      .setSubjectConfig(subjectConfig)
                      .setX509Config(x509Parameters)
                      .build())
              .setLifetime(Duration.newBuilder().setSeconds(certificateLifetime).build())
              .build();

      // Create the Certificate Request.
      CreateCertificateRequest certificateRequest =
          CreateCertificateRequest.newBuilder()
              .setParent(CaPoolName.of(project, location, poolId).toString())
              .setCertificateId(certificateName)
              .setCertificate(certificate)
              .setIssuingCertificateAuthorityId(certificateAuthorityName)
              .build();

      // Get the Certificate response.
      ApiFuture<Certificate> future =
          certificateAuthorityServiceClient
              .createCertificateCallable()
              .futureCall(certificateRequest);

      Certificate response = future.get();
      // Get the PEM encoded, signed X.509 certificate.
      System.out.println(response.getPemCertificate());
      // To verify the obtained certificate, use this intermediate chain list.
      System.out.println(response.getPemCertificateChainList());
    }
  }
}

Python

import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2


def create_certificate(
    project_id: str,
    location: str,
    ca_pool_name: str,
    ca_name: str,
    certificate_name: str,
    common_name: str,
    domain_name: str,
    certificate_lifetime: int,
    public_key_bytes: bytes,
) -> None:
    """
    Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
    The key used to sign the certificate is created by the Cloud KMS.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set a unique name for the CA pool.
        ca_name: the name of the certificate authority which issues the certificate.
        certificate_name: set a unique name for the certificate.
        common_name: a title for your certificate.
        domain_name: fully qualified domain name for your certificate.
        certificate_lifetime: the validity of the certificate in seconds.
        public_key_bytes: public key used in signing the certificates.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    # The public key used to sign the certificate can be generated using any crypto library/framework.
    # Also you can use Cloud KMS to retrieve an already created public key.
    # For more info, see: https://cloud.google.com/kms/docs/retrieve-public-key.

    # Set the Public Key and its format.
    public_key = privateca_v1.PublicKey(
        key=public_key_bytes,
        format_=privateca_v1.PublicKey.KeyFormat.PEM,
    )

    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(common_name=common_name),
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain_name]),
    )

    # Set the X.509 fields required for the certificate.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                digital_signature=True,
                key_encipherment=True,
            ),
            extended_key_usage=privateca_v1.KeyUsage.ExtendedKeyUsageOptions(
                server_auth=True,
                client_auth=True,
            ),
        ),
    )

    # Create certificate.
    certificate = privateca_v1.Certificate(
        config=privateca_v1.CertificateConfig(
            public_key=public_key,
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        lifetime=duration_pb2.Duration(seconds=certificate_lifetime),
    )

    # Create the Certificate Request.
    request = privateca_v1.CreateCertificateRequest(
        parent=caServiceClient.ca_pool_path(project_id, location, ca_pool_name),
        certificate_id=certificate_name,
        certificate=certificate,
        issuing_certificate_authority_id=ca_name,
    )
    result = caServiceClient.create_certificate(request=request)

    print("Certificate creation result:", result)

Zertifikat mit einem vorhandenen Cloud KMS-Schlüssel anfordern

Sie können Zertifikate nur mit der Google Cloud CLI anfordern, wenn Sie einen Cloud KMS-Schlüssel verwenden.

gcloud

Wenn Sie mit einem Cloud KMS-Schlüssel ein Endentitäts-Server-TLS-Zertifikat erstellen möchten, führen Sie den folgenden Befehl aus:

gcloud privateca certificates create \
  --issuer-pool POOL_ID \
  --kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \
  --cert-output-file CERT_FILENAME \
  --dns-san "DNS_NAME" \
  --use-preset-profile "leaf_server_tls"

Ersetzen Sie Folgendes:

POOL_ID: Der Name des CA-Pools.
PROJECT_ID: die Projekt-ID
LOCATION_ID: Der Speicherort des Schlüsselbunds.
KEY_RING: Der Name des Schlüsselbunds, in dem sich der Schlüssel befindet.
KEY: der Name des Schlüssels
KEY_VERSION: Die Version des Schlüssels.
CERT_FILENAME: Der Pfad zur PEM-codierten Zertifikatskettendatei. Die Datei der Zertifikatskette ist von der Endentität bis zum Stamm sortiert.
DNS_NAME: Kommagetrennte DNS-SANs.

Zertifikat von einer bestimmten Zertifizierungsstelle in einem CA-Pool ausstellen

In diesem Abschnitt wird beschrieben, wie Sie Zertifikate von einer bestimmten Zertifizierungsstelle in einem CA-Pool ausstellen.

Console

Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

Zum Certificate Authority Service
Klicken Sie auf Zertifikat anfordern.
Wählen Sie eine Region aus. Die Region muss mit der Region des CA-Pools übereinstimmen, den Sie verwenden möchten.
Wählen Sie einen CA-Pool aus.
Klicken Sie auf Eine bestimmte Zertifizierungsstelle aus diesem Zertifizierungsstellenpool verwenden und wählen Sie dann eine Zertifizierungsstelle aus der Liste aus.
Wählen Sie die anderen Parameter wie im Abschnitt Zertifikat mit einem automatisch generierten Schlüssel anfordern oder Zertifikat mit einer CSR anfordern aus.

gcloud

Wenn Sie die Zertifikatsausstellung auf eine bestimmte Zertifizierungsstelle im CA-Pool ausrichten möchten, fügen Sie das Flag --ca mit der CA_ID der Zertifizierungsstelle hinzu, die das Zertifikat ausstellen muss.

gcloud privateca certificates create \
  --issuer-pool POOL_ID \
  --ca CA_ID \
  --generate-key \
  --key-output-file KEY_FILENAME \
  --cert-output-file CERT_FILENAME \
  --dns-san "DNS_NAME" \
  --use-preset-profile "leaf_server_tls"

Terraform

resource "google_privateca_certificate_authority" "authority" {
  // This example assumes this pool already exists.
  // Pools cannot be deleted in normal test circumstances, so we depend on static pools
  pool                     = "my-pool"
  certificate_authority_id = "my-sample-certificate-authority"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-certificate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        is_ca = true
      }
      key_usage {
        base_key_usage {
          digital_signature = true
          cert_sign         = true
          crl_sign          = true
        }
        extended_key_usage {
          server_auth = true
        }
      }
    }
  }
  lifetime = "86400s"
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}


resource "google_privateca_certificate" "default" {
  pool     = "my-pool"
  location = "us-central1"
  lifetime = "860s"
  name     = "my-sample-certificate"
  config {
    subject_config {
      subject {
        common_name         = "san1.example.com"
        country_code        = "us"
        organization        = "google"
        organizational_unit = "enterprise"
        locality            = "mountain view"
        province            = "california"
        street_address      = "1600 amphitheatre parkway"
        postal_code         = "94109"
      }
    }
    x509_config {
      ca_options {
        is_ca = false
      }
      key_usage {
        base_key_usage {
          crl_sign = true
        }
        extended_key_usage {
          server_auth = true
        }
      }
    }
    public_key {
      format = "PEM"
      key    = base64encode(data.tls_public_key.example.public_key_pem)
    }
  }
  // Certificates require an authority to exist in the pool, though they don't
  // need to be explicitly connected to it
  depends_on = [google_privateca_certificate_authority.authority]
}

resource "tls_private_key" "example" {
  algorithm = "RSA"
}

data "tls_public_key" "example" {
  private_key_pem = tls_private_key.example.private_key_pem
}

Zertifikat im Validierungsmodus anfordern

Wenn Sie ein Zertifikat im Validierungsmodus anfordern, wird ein ungesigniertes Testzertifikat erstellt. Dieses Testzertifikat ist nicht PEM-codiert und es fallen keine Kosten an. Sie können das Zertifikat zwar nicht herunterladen, aber anhand der Beschreibung des hypothetischen Zertifikats können Sie prüfen, ob Sie ein signiertes Zertifikat mit den von Ihnen ausgewählten Parametern ausstellen können.

So fordern Sie ein Zertifikat im Validierungsmodus an:

Console

Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

Zum Certificate Authority Service
Klicken Sie auf Zertifikat anfordern.
Wählen Sie Validierungsmodus für die Beschreibung eines hypothetischen Zertifikats anstelle eines signierten Zertifikats verwenden aus.
Führen Sie dieselben Schritte aus, wie Sie bei einer Anfrage für ein signiertes Zertifikat ausführen würden.

Zertifikat anfordern

Hinweise

Zertifikat mit einer CSR anfordern

CSR generieren

Zertifikatsanfrage mit dem CSR senden

Console

gcloud

Terraform

REST API

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Zertifikat mit einem automatisch generierten Schlüssel anfordern

Console

gcloud

Go

Java

Python

Zertifikat mit einem vorhandenen Cloud KMS-Schlüssel anfordern

gcloud

Zertifikat von einer bestimmten Zertifizierungsstelle in einem CA-Pool ausstellen

Console

gcloud

Terraform

Zertifikat im Validierungsmodus anfordern

Console

Nächste Schritte