Zertifikate verwalten

Auf dieser Seite wird beschrieben, wie Sie mit Certificate Manager TLS-Zertifikate (Transport Layer Security, früher SSL) erstellen und verwalten.

Weitere Informationen finden Sie unter Unterstützte TLS-Zertifikate.

Von Google verwaltetes Zertifikat erstellen

Mit Certificate Manager können Sie von Google verwaltete Zertifikate auf folgende Weise erstellen:

  • Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung (global)
  • Von Google verwaltete Zertifikate mit DNS-Autorisierung (global, regional und regionenübergreifend)
  • Von Google verwaltete Zertifikate mit Certificate Authority Service (CA Service) (global, regional und regionenübergreifend)

Load-Balancer-Autorisierung

Mit der Load-Balancer-Autorisierung können Sie ein von Google verwaltetes Zertifikat für Ihre Domain erhalten, wenn der Traffic vom Load-Balancer bereitgestellt wird. Für diese Methode sind keine zusätzlichen DNS-Einträge für die Zertifikatsbereitstellung erforderlich. Sie können Load Balancer-Autorisierungen für neue Umgebungen ohne vorhandenen Traffic verwenden. Informationen dazu, wann die Load-Balancer-Autorisierung mit einem von Google verwalteten Zertifikat verwendet werden sollte, finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.

Von Google verwaltete Zertifikate mit Load Balancer-Autorisierung können nur am Standort global erstellt werden. Von Load Balancern autorisierte Zertifikate unterstützen keine Domains mit Platzhaltern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie unter Standort die Option Global aus.

  6. Wählen Sie unter Bereich eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Edge-Cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

    Die Load-Balancer-Autorisierung kann nicht mit dem Standort Regional oder dem Bereich Alle Regionen verwendet werden.

  7. Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.

  10. Wählen Sie als Autorisierungstyp die Option Load-Balancer-Autorisierung aus.

  11. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugewiesen werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates create, um ein globales von Google verwaltetes Zertifikat mit Load-Balancer-Autorisierung zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Terraform

Verwenden Sie eine google_certificate_manager_certificate-Ressource.

resource "google_certificate_manager_certificate" "default" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "Cert with LB authorization"
  managed {
    domains = [local.domain]
  }
  labels = {
    "terraform" : true
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/global/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAMES: eine durch Kommas getrennte Liste der Zieldomains. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

DNS-Autorisierung

Wenn Sie von Google verwaltete Zertifikate verwenden möchten, bevor Ihre Produktionsumgebung bereit ist, können Sie sie mit DNS-Autorisierungen bereitstellen. Informationen dazu, wann die DNS-Autorisierung mit einem von Google verwalteten Zertifikat verwendet werden sollte, finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.

Wenn Sie Zertifikate in mehreren Projekten unabhängig voneinander verwalten möchten, können Sie die DNS-Autorisierung pro Projekt verwenden. Informationen zum Erstellen von Zertifikaten mit DNS-Autorisierung pro Projekt finden Sie unter DNS-Autorisierung erstellen.

Führen Sie vor dem Erstellen des Zertifikats die folgenden Schritte aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie als Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Bereich eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

    Das Feld Bereich ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie für Zertifizierungsstellentyp die Option Öffentlich aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com. Der Domainname kann auch ein Platzhalter-Domainname sein, z. B. *.example.com.

  10. Wählen Sie unter Autorisierungstyp die Option DNS-Autorisierung aus.

    Auf der Seite werden DNS-Autorisierungen der Domainnamen aufgeführt. Wenn für einen Domainnamen keine DNS-Autorisierung vorhanden ist, gehen Sie so vor, um eine zu erstellen:

    1. Klicken Sie auf Create missing DNS authorization (Fehlende DNS-Autorisierung erstellen).
    2. Geben Sie im Feld Name der DNS-Autorisierung den Namen der DNS-Autorisierung an. Der standardmäßige DNS-Autorisierungstyp ist FIXED_RECORD. Wenn Sie Zertifikate in mehreren Projekten unabhängig voneinander verwalten möchten, klicken Sie das Kästchen Autorisierung pro Projekt an.
    3. Klicken Sie auf DNS-Autorisierung erstellen.

  11. Geben Sie im Feld Labels Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Führen Sie den Befehl certificate-manager certificates create aus, um ein von Google verwaltetes Zertifikat mit DNS-Autorisierung zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAME, *.DOMAIN_NAME" \
    --dns-authorizations="AUTHORIZATION_NAMES" \
    [--location=LOCATION] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com, oder eine Platzhalterdomain, z. B. *.myorg.example.com. Das Präfix mit Sternchen und Punkt (*.) kennzeichnet ein Platzhalterzertifikat.
  • AUTHORIZATION_NAMES: eine durch Kommas getrennte Liste der Namen der DNS-Autorisierungen.
  • LOCATION: der Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Terraform

Verwenden Sie eine google_certificate_manager_certificate-Ressource.

resource "google_certificate_manager_certificate" "root_cert" {
  name        = "${local.name}-rootcert-${random_id.tf_prefix.hex}"
  description = "The wildcard cert"
  managed {
    domains = [local.domain, "*.${local.domain}"]
    dns_authorizations = [
      google_certificate_manager_dns_authorization.default.id
    ]
  }
  labels = {
    "terraform" : true
  }
}

API

Erstellen Sie das Zertifikat, indem Sie eine POST-Anfrage an die Methode certificates. create stellen:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Ausgestellt vom CA-Dienst

Sie können Certificate Manager in CA Service einbinden, um von Google verwaltete Zertifikate auszustellen. Zum Ausstellen globaler von Google verwalteter Zertifikate verwenden Sie einen regionalen CA-Pool in einer beliebigen Region. Wenn Sie regionale von Google verwaltete Zertifikate ausstellen möchten, verwenden Sie einen CA-Pool in derselben Region wie Ihr Zertifikat.

Bevor Sie das Zertifikat erstellen, konfigurieren Sie die CA Service-Integration mit Certificate Manager.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie als Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Bereich eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

    Das Feld Bereich ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie für Zertifikatstyp die Option Von Google verwaltetes Zertifikat erstellen aus.

  8. Wählen Sie unter Zertifizierungsstellentyp die Option Privat aus.

  9. Geben Sie im Feld Domainnamen eine durch Kommas getrennte Liste der Domainnamen des Zertifikats an. Jeder Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.

  10. Wählen Sie für Konfiguration für Zertifikatsausstellung auswählen den Namen der Konfigurationsressource für die Zertifikatsausstellung aus, die auf den Ziel-CA-Pool verweist.

  11. Geben Sie im Feld Labels Labels an, die dem Zertifikat zugeordnet werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  12. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates create, um ein von Google verwaltetes Zertifikat mit dem Certificate Authority Service zu erstellen:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --domains="DOMAIN_NAMES" \
    --issuance-config=ISSUANCE_CONFIG_NAME \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com, oder eine Platzhalterdomain, z. B. *.myorg.example.com. Das Präfix mit Sternchen und Punkt (*.) kennzeichnet ein Platzhalterzertifikat.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • LOCATION: der Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

API

Erstellen Sie das Zertifikat. Stellen Sie dazu eine POST-Anfrage an die Methode certificates.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME"
{
 "managed": {
  "domains": ["DOMAIN_NAME"],
  "issuanceConfig": "ISSUANCE_CONFIG_NAME",
  "scope": "SCOPE" //optional
 }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DOMAIN_NAME: der Name der Zieldomain. Der Domainname muss ein voll qualifizierter Domainname sein, z. B. myorg.example.com.
  • ISSUANCE_CONFIG_NAME: der Name der Konfigurationsressource für die Zertifikatsausstellung, die auf den Ziel-CA-Pool verweist.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Selbstverwaltetes Zertifikat hochladen

Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, laden Sie die Zertifikatsdatei (CRT) und die entsprechende Datei mit dem privaten Schlüssel (KEY) hoch. Sie können globale und regionale X.509-TLS-Zertifikate (SSL) der folgenden Typen hochladen:

  • Zertifikate, die von Zertifizierungsstellen (CAs) Ihrer Wahl generiert wurden.
  • Zertifikate, die von Zertifizierungsstellen generiert werden, die Sie kontrollieren.
  • Selbst signierte Zertifikate, wie unter Privaten Schlüssel und Zertifikat erstellen beschrieben.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate auf Zertifikat hinzufügen.

  3. Geben Sie im Feld Zertifikatname einen eindeutigen Namen für das Zertifikat ein.

  4. Optional: Geben Sie im Feld Beschreibung eine Beschreibung für das Zertifikat ein. Anhand der Beschreibung können Sie das Zertifikat identifizieren.

  5. Wählen Sie als Standort die Option Global oder Regional aus.

    Wenn Sie Regional ausgewählt haben, wählen Sie in der Liste Region Ihre Region aus.

  6. Wählen Sie unter Bereich eine der folgenden Optionen aus:

    • Standard: Wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • Alle Regionen: wenn Sie das Zertifikat mit einem regionenübergreifenden internen Application Load Balancer verwenden möchten.
    • Edge-Cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

    Das Feld Bereich ist nicht verfügbar, wenn Sie einen regionalen Standort ausgewählt haben.

  7. Wählen Sie für Zertifikatstyp die Option Selbstverwaltetes Zertifikat erstellen aus.

  8. Im Feld Zertifikat haben Sie eine der folgenden Optionen:

    • Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
    • Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.

  9. Im Feld Zertifikat für privaten Schlüssel haben Sie eine der folgenden Optionen:

    • Klicken Sie auf Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
    • Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und mit -----END PRIVATE KEY----- enden.

  10. Geben Sie im Feld Labels die Labels an, die dem Zertifikat zugewiesen werden sollen. Klicken Sie auf Label hinzufügen, um ein Label hinzuzufügen, und geben Sie einen Schlüssel und einen Wert für das Label an.

  11. Klicken Sie auf Erstellen.

    Das neue Zertifikat wird in der Liste der Zertifikate angezeigt.

gcloud

Verwenden Sie zum Erstellen eines selbstverwalteten Zertifikats den Befehl certificate-manager certificates create:

gcloud certificate-manager certificates create CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    [--location="LOCATION"] \
    [--scope=SCOPE]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • CERTIFICATE_FILE: Der Pfad und der Dateiname der CRT-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten Schlüsseldatei KEY.
  • LOCATION: der Ziel Google Cloud standort. Der Standardwert ist global.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Terraform

Wenn Sie ein selbstverwaltetes Zertifikat hochladen möchten, können Sie eine google_certificate_manager_certificate-Ressource mit dem self_managed-Block verwenden.

API

Laden Sie das Zertifikat hoch, indem Sie eine POST-Anfrage an die Methode certificates.create stellen:

POST /v1/projects/PROJECT_ID/locations/LOCATION/certificates?certificate_id=CERTIFICATE_NAME
{
  self_managed: {
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
    scope: SCOPE
  }
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • PEM_CERTIFICATE: Das Zertifikat im PEM-Format.
  • PEM_KEY: der Schlüssel-PEM.
  • SCOPE: Geben Sie eine der folgenden Optionen ein:
    • default: wenn Sie das Zertifikat mit einem globalen externen Application Load Balancer oder einem globalen externen Proxy-Network Load Balancer verwenden möchten.
    • all-regions: wenn Sie das Zertifikat mit einem regionsübergreifenden internen Application Load Balancer verwenden möchten.
    • edge-cache: Wenn Sie das Zertifikat mit Media CDN verwenden und mehrere Domains im Zertifikat angeben möchten.

Zertifikat aktualisieren

Sie können ein vorhandenes Zertifikat aktualisieren, ohne die Zuweisungen zu Domainnamen in der entsprechenden Zertifikatszuordnung zu ändern. Wenn Sie ein Zertifikat aktualisieren, müssen die SANs im neuen Zertifikat genau mit den SANs im vorhandenen Zertifikat übereinstimmen.

Von Google verwaltete Zertifikate

Bei von Google verwalteten Zertifikaten können Sie nur die Beschreibung und die Labels eines Zertifikats aktualisieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Suchen Sie auf dem Tab Zertifikate nach dem Zertifikat, das Sie aktualisieren möchten, und klicken Sie dann auf den Namen des Zertifikats. Auf der Seite Zertifikatsdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.

  3. Klicken Sie auf Bearbeiten. Die Seite Zertifikat bearbeiten wird angezeigt.

  4. Optional: Geben Sie im Feld Beschreibung eine neue Beschreibung für das Zertifikat ein.

  5. Optional: Sie können die mit dem Zertifikat verknüpften Labels hinzufügen, entfernen oder ändern. Klicken Sie auf die Schaltfläche Label hinzufügen, um ein Label hinzuzufügen, und geben Sie dann einen key und einen value für das Label an.

  6. Klicken Sie auf Speichern. Prüfen Sie auf der daraufhin angezeigten Seite Zertifikatsdetails, ob das Zertifikat aktualisiert wurde.

gcloud

Verwenden Sie den Befehl certificate-manager certificates update, um ein von Google verwaltetes Zertifikat zu aktualisieren:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    [--description="DESCRIPTION"] \
    [--update-labels="LABELS"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DESCRIPTION: Eine eindeutige Beschreibung des Zertifikats.
  • LABELS: Eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.

API

Aktualisieren Sie das Zertifikat, indem Sie eine PATCH-Anfrage an die Methode certificates.patch stellen:

PATCH /v1/projects/PROJECT_ID/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • DESCRIPTION ist eine Beschreibung des Zertifikats.
  • LABEL_KEY: Ein auf das Zertifikat angewendeter Labelschlüssel.
  • LABEL_VALUE: ein Labelwert, der auf das Zertifikat angewendet wird.

Selbstverwaltete Zertifikate

Wenn Sie ein selbstverwaltetes Zertifikat aktualisieren möchten, müssen Sie die folgenden PEM-codierten Dateien hochladen:

  • Die CRT-Datei des Zertifikats

  • Die entsprechende KEY-Datei mit dem privaten Schlüssel

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Suchen Sie auf dem Tab Zertifikate nach dem Zertifikat, das Sie aktualisieren möchten, und klicken Sie dann auf den Namen des Zertifikats. Auf der Seite Zertifikatsdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.

  3. Klicken Sie auf Bearbeiten. Die Seite Zertifikat bearbeiten wird angezeigt.

  4. Optional: Geben Sie im Feld Beschreibung eine neue Beschreibung für das Zertifikat ein.

  5. Optional: Gehen Sie für das Feld Zertifikat so vor:

    • Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihre PEM-formatierte Zertifikatsdatei aus.
    • Kopieren Sie den Inhalt eines PEM-formatierten Zertifikats und fügen Sie ihn ein. Der Inhalt muss mit -----BEGIN CERTIFICATE----- beginnen und mit -----END CERTIFICATE----- enden.

  6. Optional: Im Feld Zertifikat für privaten Schlüssel haben Sie eine der folgenden Optionen:

    • Klicken Sie auf die Schaltfläche Hochladen und wählen Sie Ihren privaten Schlüssel aus. Ihr privater Schlüssel muss das Format PEM haben und darf nicht mit einer Passphrase geschützt sein.
    • Kopieren Sie den Inhalt des privaten Schlüssels im PEM-Format und fügen Sie ihn ein. Die privaten Schlüssel müssen mit -----BEGIN PRIVATE KEY----- beginnen und mit -----END PRIVATE KEY----- enden.

  7. Optional: Sie können die mit dem Zertifikat verknüpften Labels hinzufügen, entfernen oder ändern. Klicken Sie auf die Schaltfläche Label hinzufügen, um ein Label hinzuzufügen, und geben Sie dann einen key und einen value für das Label an.

  8. Klicken Sie auf Speichern. Prüfen Sie auf der daraufhin angezeigten Seite Zertifikatsdetails, ob das Zertifikat aktualisiert wurde.

gcloud

Verwenden Sie den certificate-manager certificates update-Befehl, um ein selbstverwaltetes Zertifikat zu aktualisieren:

gcloud certificate-manager certificates update CERTIFICATE_NAME \
    --certificate-file="CERTIFICATE_FILE" \
    --private-key-file="PRIVATE_KEY_FILE" \
    --description="DESCRIPTION" \
    --update-labels="LABELS" \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • CERTIFICATE_FILE: Der Pfad und der Dateiname der CRT-Zertifikatsdatei.
  • PRIVATE_KEY_FILE: Pfad und Dateiname der privaten Schlüsseldatei KEY.
  • DESCRIPTION: Ein eindeutiger Beschreibungswert für dieses Zertifikat.
  • LABELS: Eine durch Kommas getrennte Liste von Labels, die auf dieses Zertifikat angewendet werden.
  • LOCATION: der Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.

API

Aktualisieren Sie das Zertifikat, indem Sie eine PATCH-Anfrage an die Methode certificates.patch stellen:

PATCH /v1/projects/PROJECT_ID/locations/[LOCATION]/certificates/CERTIFICATE_NAME?updateMask=self_managed,labels,description
{
   self_managed: { // Self-managed certificates only
    pem_certificate: "PEM_CERTIFICATE",
    pem_private_key: "PEM_KEY",
  }
  "description": "DESCRIPTION",
  "labels": {
    "LABEL_KEY": "LABEL_VALUE",
  }

}

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort. Dieses Flag ist optional. Geben Sie dieses Flag nur für regionale Zertifikate an.
  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • PEM_CERTIFICATE: Das Zertifikat im PEM-Format.
  • PEM_KEY: der Schlüssel-PEM.
  • DESCRIPTION: eine aussagekräftige Beschreibung des Zertifikats.
  • LABEL_KEY: Ein auf das Zertifikat angewendeter Labelschlüssel.
  • LABEL_VALUE: ein Labelwert, der auf das Zertifikat angewendet wird.

Zertifikate auflisten

Sie können alle Zertifikate Ihres Projekts und ihre Details wie Region, Hostnamen, Ablaufdatum und Typ ansehen.

Console

Auf der Seite Zertifikatmanager in der Google Cloud -Konsole können maximal 10.000 Zertifikate angezeigt werden. Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die vom Zertifikatmanager verwaltet werden, verwenden Sie den gcloud CLI-Befehl.

So rufen Sie von Certificate Manager bereitgestellte Zertifikate auf:

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf den Tab Zertifikate. Auf diesem Tab werden alle Zertifikate aufgeführt, die vom Certificate Manager im ausgewählten Projekt verwaltet werden.

So rufen Sie Zertifikate auf, die über Cloud Load Balancing bereitgestellt wurden:

  1. Rufen Sie in der Google Cloud Console auf der Seite Certificate Manager den Tab Klassische Zertifikate auf.

    Zum Zertifikatmanager

  2. Auf dem Tab Klassische Zertifikate sehen Sie eine Liste aller konfigurierten klassischen Zertifikate im ausgewählten Projekt.

    Klassische Zertifikate werden nicht vom Zertifikatmanager verwaltet. Weitere Informationen zum Verwalten von Zertifikaten finden Sie in der Dokumentation zur Verwendung von von Google verwalteten Zertifikaten oder zur Verwendung von selbstverwalteten Zertifikaten.

gcloud

Verwenden Sie den Befehl certificate-manager certificates list, um Zertifikate aufzulisten:

gcloud certificate-manager certificates list \
    [--location="LOCATION"] \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY"

Ersetzen Sie Folgendes:

  • LOCATION: der Ziel Google Cloud standort. Verwenden Sie - als Wert, um Zertifikate aus allen Regionen aufzulisten. Der Standardwert ist -. Dieses Flag ist optional.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
    • Zertifikatsstatus: --filter='managed.state=FAILED'
    • Zertifikatstyp: --filter='managed:*'
    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Weitere Filterbeispiele, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Sortieren und Filtern von Listenergebnissen.

  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • LIMIT: Die maximale Anzahl der zurückzugebenden Ergebnisse.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

API

Listen Sie die Zertifikate auf, indem Sie eine LIST-Anfrage an die Methode certificates.list stellen:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort. Verwenden Sie - als Wert, um Zertifikate aus allen Regionen aufzulisten.

  • FILTER: Ein Ausdruck, der die zurückgegebenen Ergebnisse auf bestimmte Werte beschränkt.

    Sie können die Ergebnisse beispielsweise nach den folgenden Kriterien filtern:

    • Ablaufzeit: --filter='expire_time >= "2021-09-01T00:00:00Z"'
    • SAN-DNS-Namen: --filter='san_dnsnames:"example.com"'
    • Zertifikatsstatus: --filter='managed.state=FAILED'
    • Zertifikatstyp: --filter='managed:*'

    • Labels und Erstellungszeit: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

      Weitere Filterbeispiele, die Sie mit Certificate Manager verwenden können, finden Sie in der Cloud Key Management Service-Dokumentation unter Sortieren und Filtern von Listenergebnissen.

  • PAGE_SIZE: Die Anzahl der Ergebnisse, die pro Seite zurückgegeben werden sollen.

  • SORT_BY: Eine durch Kommas getrennte Liste von name-Feldern, nach denen die zurückgegebenen Ergebnisse sortiert werden. Die Standardsortierreihenfolge ist aufsteigend. Wenn Sie in absteigender Reihenfolge sortieren möchten, stellen Sie dem Feld eine Tilde (~) voran.

Status eines Zertifikats ansehen

Sie können den Status eines vorhandenen Zertifikats ansehen, einschließlich des Bereitstellungsstatus und anderer detaillierter Informationen.

Console

Wenn Ihr Projekt mehr als 10.000 Zertifikate enthält,die von Certificate Manager verwaltet werden, werden sie auf der Seite Certificate Manager in derGoogle Cloud -Konsole nicht aufgeführt. Verwenden Sie stattdessen den gcloud CLI-Befehl. Wenn Sie jedoch einen direkten Link zur Seite Details des Zertifikats haben, können Sie die Details in der Google Cloud Console aufrufen.

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Wählen Sie auf der angezeigten Seite den Tab Zertifikate aus.

  3. Rufen Sie auf dem Tab Zertifikate das Zielzertifikat auf und klicken Sie dann auf den Namen des Zertifikats. Auf der Seite Zertifikatsdetails werden detaillierte Informationen zum ausgewählten Zertifikat angezeigt.

  4. Optional: Wenn Sie die REST-Antwort der Certificate Manager API für dieses Zertifikat aufrufen möchten, klicken Sie auf REST-Äquivalent.

  5. Optional: Wenn dem Zertifikat eine Konfiguration für die Zertifikatausstellung zugeordnet ist, die Sie aufrufen möchten, klicken Sie im Feld Issuance config (Konfiguration für die Ausstellung) auf den Namen der zugehörigen Konfigurationsressource für die Zertifikatausstellung. In der Google Cloud Konsole wird die vollständige Konfiguration der Zertifikatsausstellungskonfiguration angezeigt.

gcloud

Verwenden Sie den Befehl certificate-manager certificates describe, um den Status eines Zertifikats aufzurufen:

gcloud certificate-manager certificates describe CERTIFICATE_NAME \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • LOCATION: der Ziel Google Cloud standort. Der Standardspeicherort ist global. Dieses Flag ist optional.

API

So rufen Sie den Zertifikatsstatus mit einer GET-Anfrage an die certificates.get-Methode auf:

GET /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort.
  • CERTIFICATE_NAME: Der Name des Zertifikats.

Zertifikat löschen

Bevor Sie ein Zertifikat löschen, müssen Sie es aus allen Zertifikatszuordnungseinträgen entfernen, die darauf verweisen. Andernfalls schlägt das Löschen fehl. Weitere Informationen finden Sie unter Eintrag in der Zertifikatszuordnung löschen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Manager auf.

    Zum Zertifikatmanager

  2. Klicken Sie auf dem Tab Zertifikate das Kästchen neben dem Zertifikat an, das Sie löschen möchten.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im angezeigten Dialogfeld zur Bestätigung auf Löschen.

gcloud

Verwenden Sie zum Löschen eines Zertifikats den Befehl certificate-manager certificates delete:

gcloud certificate-manager certificates delete CERTIFICATE_NAME \
    [--location="LOCATION"]

Ersetzen Sie Folgendes:

  • CERTIFICATE_NAME: Der Name des Zertifikats.
  • LOCATION: der Ziel Google Cloud standort. Der Standardspeicherort ist global. Dieses Flag ist optional.

API

Löschen Sie das Zertifikat, indem Sie eine DELETE-Anfrage an die Methode certificates.delete stellen:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/certificates/CERTIFICATE_NAME

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Google Cloud Projekts.
  • LOCATION: der Ziel Google Cloud standort.
  • CERTIFICATE_NAME: Der Name des Zertifikats.

Nächste Schritte