Diese Seite wurde von der Cloud Translation API übersetzt.

Kernkomponenten des Zertifikatmanagers
Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite finden Sie einen Überblick über die Hauptkomponenten und Konzepte von Certificate Manager.

Zertifikate

Ein Zertifikat stellt ein einzelnes Zertifikat vom Typ X.509 Transport Layer Security (TLS) (SSL) dar, das für bestimmte Domainnamen oder Domainplatzhalter ausgestellt wird.

Certificate Manager unterstützt die folgenden Zertifikatstypen:

Von Google verwaltete Zertifikate: Zertifikate, die von Google Cloudabgerufen und verwaltet werden. Wenn ein neues von Google verwaltetes Zertifikat ausgestellt oder verlängert wird, verwendet der Zertifikatmanager einen frisch generierten privaten Schlüssel für das Zertifikat.
Selbstverwaltete Zertifikate: Zertifikate, die Sie selbst erwerben, bereitstellen und erneuern.

Von Google verwaltete Zertifikate

Von Google verwaltete Zertifikate sind TLS-Zertifikate, die Google Cloud von Google für Sie bezogen und verwaltet werden. Mit Certificate Manager können Sie von Google verwaltete Zertifikate erstellen, verwalten und automatisch verlängern. Mit Certificate Manager können Sie die Domaininhaberschaft auch mithilfe einer Load Balancer-basierten oder DNS-basierten Autorisierung bestätigen.

Certificate Manager unterstützt öffentliche Zertifizierungsstellen und Let's Encrypt-Zertifizierungsstellen. Standardmäßig stellt die öffentliche Zertifizierungsstelle von Google verwaltete Zertifikate aus. Wenn Sie für eine bestimmte Domain kein Zertifikat von der öffentlichen Zertifizierungsstelle erhalten können, greift der Zertifikatsmanager auf die Let's Encrypt-Zertifizierungsstelle zurück. Dies kann passieren, wenn die öffentliche Zertifizierungsstelle die Ausstellung eines Zertifikats für eine Domain ablehnt oder Ihr CAA-Eintrag (Certification Authority Authorization) die Ausstellung von Zertifikaten für diese Domain ausdrücklich untersagt. Weitere Informationen zum Einschränken der Zertifizierungsstellen, die Zertifikate für Ihre Domains ausstellen können, finden Sie unter Die Zertifizierungsstellen angeben, die Ihr von Google verwaltetes Zertifikat ausstellen können.

Wichtige Punkte bei der Verwendung von von Google verwalteten Zertifikaten mit Certificate Manager:

Zertifikatmanager unterstützt von Google verwaltete RSA-Zertifikate.
Regionale von Google verwaltete Zertifikate unterstützen nur die DNS-basierte Autorisierung und erhalten Zertifikate von der öffentlichen Zertifizierungsstelle.
Die Verwendung von von Google verwalteten Zertifikaten als Clientzertifikate für die gegenseitige TLS-Authentifizierung wird nicht unterstützt.

Öffentliche und private Zertifikate

Mit dem Zertifikatmanager können sowohl öffentliche als auch private Zertifikate verwaltet werden. Der Zertifikatsmanager ruft öffentliche Zertifikate von der öffentlichen Zertifizierungsstelle ab, die häufig öffentliche Dienste schützen. Die meisten Browser, Betriebssysteme und Anwendungen erkennen Public CA als Root of Trust an. Der Zertifikatsmanager erhält private Zertifikate, die häufig private Dienste schützen, vom CA-Dienst.

Selbstverwaltete Zertifikate

Wenn Sie aufgrund Ihrer Geschäftsanforderungen keine von Google verwalteten Zertifikate verwenden können, können Sie von externen Zertifizierungsstellen ausgestellte Zertifikate zusammen mit den zugehörigen Schlüsseln hochladen. Sie müssen diese selbst verwalteten Zertifikate manuell ausstellen und verlängern.

Domainautorisierungen

Mit Certificate Manager können Sie auf eine der folgenden Arten nachweisen, dass Sie Inhaber der Domains sind, für die Sie von Google verwaltete Zertifikate ausstellen möchten:

Load Balancer-Autorisierung: Das Zertifikat wird direkt auf einem unterstützten Load Balancer bereitgestellt, ohne dass ein DNS-Eintrag erstellt wird.
DNS-Autorisierung: Das Zertifikat wird direkt auf einem unterstützten Load Balancer bereitgestellt, nachdem spezielle DNS-Einträge zur Bestätigung der Domaininhaberschaft erstellt wurden.

Weitere Informationen finden Sie unter Domainautorisierungstypen für von Google verwaltete Zertifikate.

Für selbst verwaltete Zertifikate sind keine Domainautorisierungen erforderlich.

Zertifikatszuordnungen

Eine Zertifikatszuordnung verweist auf einen oder mehrere Zertifikatszuordnungseinträge, die bestimmte Zertifikate bestimmten Hostnamen zuweisen. Zertifikatszuordnungseinträge definieren auch die Auswahllogik, der der Load Balancer beim Herstellen von Clientverbindungen folgt. Sie können eine Zertifikatzuordnung mit mehreren Zielproxies verknüpfen, um sie für mehrere Load Balancer wiederzuverwenden.

Wenn ein Client einen in einer Zertifikatszuordnung angegebenen Hostnamen anfordert, gibt der Load Balancer die diesem Hostnamen zugeordneten Zertifikate aus. Andernfalls gibt der Load Balancer das primäre Zertifikat aus, das erste Zertifikat, das für einen Zielproxy aufgeführt ist. Weitere Informationen finden Sie unter Funktionsweise des Zertifikatmanagers.

Weitere Informationen zum Erstellen und Verwalten von Zertifikatzuordnungen finden Sie unter Zertifikatzuordnungen verwalten.

Einträge zu Zertifikatszuordnungen

Ein Eintrag in der Zertifikatszuordnung ist eine Liste von Zertifikaten, die für einen bestimmten Domainnamen bereitgestellt werden. Sie können für dieselbe Domain verschiedene Zertifikate definieren. Sie können beispielsweise ein ECDSA- und ein RSA-Zertifikat hochladen und ihnen denselben Domainnamen zuordnen.

Wenn ein Client eine Verbindung zu einem Domainnamen herstellt, verhandelt der Load Balancer den Zertifikatstyp, der dem Client während des Handshakes zur Verfügung gestellt werden soll.

Sie können einem einzelnen Eintrag in der Zertifikatszuordnung maximal vier Zertifikate zuordnen.

Weitere Informationen zum Erstellen und Verwalten von Zertifikatzuordnungseinträgen finden Sie unter Zertifikatzuordnungseinträge verwalten.

Konfigurationen von Vertrauensstellungen

Eine Vertrauenskonfiguration ist eine Ressource, die Ihre Konfiguration der Public-Key-Infrastruktur (PKI) im Zertifikatmanager zur Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung darstellt. Sie enthält einen einzelnen Trust Store, der wiederum einen Trust-Anchor und optional ein oder mehrere Zwischenzertifikate enthält.

Weitere Informationen zur gegenseitigen TLS-Authentifizierung (mTLS) finden Sie in der Cloud Load Balancing-Dokumentation unter Gegenseitige TLS-Authentifizierung.

Weitere Informationen zu Vertrauenskonfiguratioen und ihren Komponenten finden Sie unter Vertrauenskonfiguratioen verwalten.

Trust Stores

Ein Trust Store stellt die Konfiguration des Vertrauenssecrets im Zertifikatmanager für die Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung dar. Ein Trust Store umschließt einen einzelnen Trust-Anchor und optional ein oder mehrere Zwischenzertifikate.

Für Ressourcen für Trust-Konfigurationen gelten die folgenden Einschränkungen:

Eine Vertrauenskonfigurationsressource kann einen einzelnen Truststore enthalten.
Ein Trust Store kann bis zu 200 Trust-Anchors und bis zu 100 Zwischen-CA-Zertifikate enthalten.

Trust-Anchors

Ein Trust Anchor stellt ein einzelnes Root-Zertifikat für die Verwendung in Szenarien mit gegenseitiger TLS-Authentifizierung dar. Ein Trust-Anchor ist in einem Trust Store gekapselt.

Zwischenzertifikate

Ein Zwischenzertifikat ist ein Zertifikat, das von einem Stammzertifikat oder einem anderen Zwischenzertifikat im Trust Store signiert wurde. Zwischenzertifikate werden für die gegenseitige TLS-Authentifizierung verwendet.

Wenn Sie Zwischenzertifikate haben, können diese je nach PKI-Konfiguration in einem Trust Store gekapselt werden. Zusätzlich zu den vorhandenen Zwischenzertifikaten enthält die Vertrauenskonfiguration alle Zwischenzertifikate als Teil der Vertrauensbewertung für alle Verbindungsanfragen.

Zertifikate, für die eine Zulassungsliste erforderlich ist

Wenn Sie Clients erlauben möchten, sich mit einem selbst signierten, abgelaufenen oder ungültigen Zertifikat zu authentifizieren, fügen Sie das Zertifikat dem Feld allowlistedCertificates der Vertrauenseinstellung hinzu. Sie können das Zertifikat auch hinzufügen, wenn Sie keinen Zugriff auf das Stamm- und Zwischenzertifikat haben. Sie benötigen keinen Truststore, um ein Zertifikat einer Zulassungsliste hinzuzufügen.

Wenn Sie ein Zertifikat zur Zulassungsliste hinzufügen, gilt es in Certificate Manager als gültig, wenn es die folgenden Bedingungen erfüllt:

Das Zertifikat kann geparst werden.
Der Client beweist, dass er den privaten Schlüssel des Zertifikats besitzt.
Die Einschränkungen für das Feld „Alternativer Antragstellername“ (Subject Alternative Name, SAN) sind erfüllt.

Konfigurationen der Zertifikatsausstellung

Eine Konfiguration für die Zertifikatsausstellung ist eine Ressource, mit der Zertifikatmanager einen CA-Pool aus Ihrer eigenen Certificate Authority Service-Instanz verwenden kann, um von Google verwaltete Zertifikate auszustellen. Mit einer Konfiguration der Zertifikatsausstellung können Sie Parameter für die Ausstellung und das Ablaufdatum von Zertifikaten sowie den Schlüsselalgorithmus für ausgestellte Zertifikate angeben.

Weitere Informationen zum Erstellen und Verwalten von Konfigurationen für die Zertifikatsausstellung finden Sie unter Ressourcen für die Konfiguration der Zertifikatsausstellung verwalten.

Nächste Schritte

So funktioniert Certificate Manager

Kernkomponenten des Zertifikatmanagers Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.