Zertifizierungsstellen anderer Anbieter verbinden
Mit IBM Cloud® Secrets Managerkönnen Sie eine Verbindung zu einer unabhängigen Zertifizierungsstelle herstellen, indem Sie Ihrer Instanz eine Konfiguration hinzufügen.
Eine Zertifizierungsstelle (Certificate Authority, CA) ist die Entität, die Ihre SSL/TLS-Zertifikate signiert und ausstellt. Durch Hinzufügen einer CA-Konfiguration können Sie die Berechtigung angeben, die Sie verwenden möchten, wenn Sie Öffentliche Zertifikate bestellen bis Secrets Manager ausführen.
Pro Instanz können bis zu 10 Zertifikatstellenkonfigurationen definiert werden. Um eine Liste der Konfigurationen anzuzeigen, die für Ihre Instanz verfügbar sind, rufen Sie die Seite Engines für geheime Schlüssel > Öffentliche Zertifikate in der Secrets Manager-Benutzerschnittstelle auf.
Pro Instanz können bis zu 10 Zertifikatstellenkonfigurationen definiert werden. Um eine Liste mit Konfigurationen zu erhalten, die für Ihre Instanz verfügbar sind, können Sie die API Liste-Konfigurationen verwenden.
Vorbereitende Schritte
Bevor Sie beginnen, müssen Sie prüfen, ob Sie über die erforderliche Zugriffsebene verfügen. Für die Verwaltung von Engine-Konfigurationen für Ihre Instanz benötigen Sie die Servicerolle Manager oder höher.
Unterstützte Zertifizierungsstellen
Sie können die folgenden Zertifizierungsstellen mit Ihrer Secrets Manager-Serviceinstanz integrieren.
Voraussetzungen |
---|
Bevor Sie Let's Encrypt verbinden, stellen Sie sicher, dass Sie:
|
Zertifizierungsstellen können Gebühren erheben, wenn Sie ein Zertifikat bestellen oder verlängern. Darüber hinaus gelten verschiedene Ratenbegrenzungen. Secrets Manager übernimmt keine Kosten- oder Ratenbegrenzungen, die den Bestellzertifikaten zugeordnet sind. Weitere Informationen zu den bei der Bestellung von Let's Encrypt-Zertifikaten zu beachtenden Ratenbegrenzungen finden Sie in der Dokumentation zu Let's Encrypt.
Hinzufügen einer Zertifizierungsstellenkonfiguration in der Benutzerschnittstelle
Sie können Ihrer Serviceinstanz mithilfe der Secrets Manager-Benutzerschnittstelle Zertifizierungsstellenkonfigurationen hinzufügen.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Klicken Sie auf der Seite Engines für geheime Schlüssel auf die Registerkarte Öffentliche Zertifikate.
-
Klicken Sie in der Tabelle "Zertifizierungsstellen" auf Hinzufügen.
-
Wählen Sie die Zertifizierungsstelle aus, die Sie verwenden möchten. Momentan wird Let' s Encrypt unterstützt.
- Für die Produktionsumgebung wählen Sie Lets Encrypt aus.
- Für die Staging-Umgebung wählen Sie Let's Encrypt (Staging) aus. Wählen Sie diese Option aus, wenn Sie Zertifikate ausstellen möchten, die noch nicht produktionsbereit sind.
-
Fügen Sie die Datei mit dem privaten Schlüssel im PEM-Format hinzu, die Ihrem ACME-Konto zugeordnet ist, oder geben Sie den zugehörigen Wert ein.
-
Klicken Sie auf Hinzufügen.
Sie können diese Konfiguration jetzt auswählen, wenn Sie ein Zertifikat bestellen. Wenn Sie eine vorhandene Konfiguration ändern oder entfernen möchten, klicken Sie in der Zeile der Konfiguration, die Sie aktualisieren wollen, auf Aktionen Menü
.
Hinzufügen einer Konfiguration der Zertifizierungsstelle über die Befehlszeilenschnittstelle
Sie können Ihrer Dienstinstanz Zertifikatsautoritätskonfigurationen hinzufügen, indem Sie die Befehlszeilenschnittstelle Secrets Manager verwenden.
Führen Sie den Befehl ibmcloud secrets-manager configuration-create
aus, um eine Konfiguration
hinzuzufügen.
ibmcloud secrets-manager configuration-create '{
config_type": "public_cert_configuration_ca_lets_encrypt",
"lets_encrypt_environment": "production",
"lets_encrypt_private_key": "-----BEGIN PRIVATE KEY-----\nMY_PRIVATE_KEY_WITH_NEWLINES_TRANSFORMED_TO_\N_CHARS-----...", "name": "my-lets-encrypt-config"
}'
Zertifizierungsstellenkonfiguration mit der API hinzufügen
Sie können Ihrer Serviceinstanz Zertifizierungsberechtigungskonfigurationen hinzufügen, indem Sie die Secrets Manager-API aufrufen.
Das folgende Beispiel zeigt eine Abfrage, die Sie verwenden können, um eine Konfiguration für Let' s Encrypt hinzuzufügen. Wenn Sie die API aufrufen, ersetzen Sie den Wert private_key
durch den privaten Schlüssel, der mit Ihrem
ACME-Konto verknüpft ist.
Sie müssen die Datei mit Ihrem privaten Schlüssel in das einzeilige Format konvertieren, sodass sie von der Secrets Manager-API korrekt geparst werden kann. Sie können den folgenden UNIX-Befehl verwenden, um die Datei in eine einzeilige Zeichenfolge
zu formatieren: awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' <private_key_file>
curl -X POST
--H "Authorization: Bearer {iam_token}" \
--H "Accept: application/json" \
--H "Content-Type: application/json" \
--d '{
"config_type": "public_cert_configuration_ca_lets_encrypt",
"lets_encrypt_environment": "production",
"lets_encrypt_private_key": "-----BEGIN PRIVATE KEY-----\nMIIEowIBAAKCAQEAqcRbzV1wp0nVrPtEpMtnWMO6Js1q3rhREZluKZfu0Q8SY4H3",
"name": "lets-encrypt-config"
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"
Eine erfolgreiche Antwort fügt die Konfiguration zu Ihrer Serviceinstanz hinzu. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter "Konfiguration hinzufügen ".
Hinzufügen einer Konfiguration für die Zertifizierungsstelle mit Terraform
Das folgende Beispiel zeigt eine Konfiguration, die Sie zum Erstellen einer Stammzertifizierungsstelle verwenden können.
resource "ibm_sm_public_certificate_configuration_ca_lets_encrypt" "my_lets_encrypt_config" {
instance_id = local.instance_id
region = local.region
name = "lets-encrypt-config"
lets_encrypt_environment = "production"
lets_encrypt_private_key = var.my_lets_encrypt_private_ley
}
Löschen einer Zertifizierungsstellenkonfiguration in der Benutzerschnittstelle
Wenn Sie eine Konfiguration nicht mehr benötigen, können Sie sie über die Secrets Manager-Benutzerschnittstelle löschen.
Nachdem Sie eine Konfiguration gelöscht haben, können die Zertifikate, die der Zertifizierungsstelle zugeordnet sind, nicht mehr automatisch gedreht werden. Löschen Sie keine Konfigurationen, die Zertifikate in Ihren Produktionsanwendungen oder -services zugeordnet sind.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Klicken Sie auf der Seite Engines für geheime Schlüssel auf die Registerkarte Öffentliche Zertifikate.
-
Verwenden Sie die Tabelle Zertifizierungsstellen, um die Konfigurationen in Ihrer Instanz anzuzeigen.
-
Klicken Sie in der Zeile für die zu löschende Konfiguration auf das Aktionen Menü
> Löschen.
-
Geben Sie den Namen der Konfiguration ein, um den Löschvorgang zu bestätigen.
-
Klicken Sie auf Löschen.
Löschen einer Zertifizierungsstellenkonfiguration aus der Befehlszeilenschnittstelle
Um eine Konfiguration einer Zertifizierungsstelle zu löschen, führen Sie den ibmcloud secrets-manager configuration-delete
befehl aus.
ibmcloud secrets-manager configuration-delete my-configuration-name
Löschen einer Zertifizierungsstellenkonfiguration mit der API
Sie können Konfigurationen löschen, indem Sie die Secrets Manager-API aufrufen.
Das folgende Beispiel zeigt eine Abfrage, die Sie verwenden können, um eine Zertifizierungsstellenkonfiguration aus Ihrer Instanz zu entfernen. Wenn Sie die API aufrufen, ersetzen Sie {config_name}
durch den Namen der zu löschenden
Konfiguration.
Nachdem Sie eine Konfiguration gelöscht haben, können die Zertifikate, die der Zertifizierungsstelle zugeordnet sind, nicht mehr automatisch gedreht werden. Löschen Sie keine Konfigurationen, die Zertifikate in Ihren Produktionsanwendungen oder -services zugeordnet sind.
curl -X DELETE
--H "Authorization: Bearer {iam_token}"\
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"
Bei einer erfolgreichen Antwort wird die Konfiguration aus der Serviceinstanz entfernt. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter "Konfiguration entfernen ".
Abrufen einer Konfiguration der Zertifizierungsstelle in der Benutzeroberfläche
Sie können den Wert der Zertifizierungsstelle über die Benutzerschnittstelle von Secrets Manager abrufen.
- Klicken Sie in der geheimen Engine für öffentliche Zertifikate auf das Menü Aktionen
in der Tabelle 'Zertifizierungsstelle', um eine Liste der Optionen für Ihre Enginekonfiguration zu öffnen.
- Klicken Sie zum Anzeigen des Konfigurationswerts auf Konfiguration anzeigen.
- Klicken Sie auf Bestätigen, nachdem Sie sichergestellt haben, dass Sie sich in einer sicheren Umgebung befinden.
Der Wert des geheimen Schlüssels wird 15 Sekunden lang angezeigt und der Dialog wird geschlossen.
Konfiguration einer Zertifizierungsstelle über die Befehlszeilenschnittstelle abrufen
Sie können den Wert der Zertifizierungsstelle über die Befehlszeilenschnittstelle von Secrets Manager abrufen. Ersetzen Sie im folgenden Beispielbefehl den Namen der Enginekonfiguration durch den Namen Ihrer Konfiguration.
ibmcloud secrets-manager configuration --name EXAMPLE_CONFIG --service-url https://{instance_ID}.{region}.secrets-manager.appdomain.cloud
Ersetzen Sie {instance_ID}
und {region}
durch die Werte, die für Ihre Serviceinstanz von Secrets Manager gelten. Um die Endpunkt-URL zu finden, die für Ihre Instanz spezifisch ist, können Sie sie von der Seite Endpunkte in der Benutzerschnittstelle von Secrets Manager kopieren. Weitere Informationen finden Sie unter Endpunkt-URLs anzeigen.
Konfiguration einer Zertifizierungsstelle mit API abrufen
Sie können den Wert für die Zertifizierungsstelle mithilfe der API Secrets Manager abrufen. Ersetzen Sie in der folgenden Beispielanforderung den Namen der Enginekonfiguration durch den Namen Ihrer Konfiguration.
curl -X GET --location --header "Authorization: Bearer {iam_token}" \
--header "Accept: application/json" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"
Ersetzen Sie {instance_ID}
und {region}
durch die Werte, die für Ihre Serviceinstanz von Secrets Manager gelten. Um die Endpunkt-URL zu finden, die für Ihre Instanz spezifisch ist, können Sie sie von der Seite Endpunkte in der Benutzerschnittstelle von Secrets Manager kopieren. Weitere Informationen finden Sie unter Endpunkt-URLs anzeigen.
Eine erfolgreiche Antwort gibt den Wert der Motorkonfiguration zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anfrageparametern finden Sie unter "Get a secret ".