IBM Cloud Docs
Zertifizierungsstellen anderer Anbieter verbinden

Zertifizierungsstellen anderer Anbieter verbinden

Mit IBM Cloud® Secrets Managerkönnen Sie eine Verbindung zu einer unabhängigen Zertifizierungsstelle herstellen, indem Sie Ihrer Instanz eine Konfiguration hinzufügen.

Eine Zertifizierungsstelle (Certificate Authority, CA) ist die Entität, die Ihre SSL/TLS-Zertifikate signiert und ausstellt. Durch Hinzufügen einer CA-Konfiguration können Sie die Berechtigung angeben, die Sie verwenden möchten, wenn Sie Öffentliche Zertifikate bestellen bis Secrets Manager ausführen.

Pro Instanz können bis zu 10 Zertifikatstellenkonfigurationen definiert werden. Um eine Liste der Konfigurationen anzuzeigen, die für Ihre Instanz verfügbar sind, rufen Sie die Seite Engines für geheime Schlüssel > Öffentliche Zertifikate in der Secrets Manager-Benutzerschnittstelle auf.

Pro Instanz können bis zu 10 Zertifikatstellenkonfigurationen definiert werden. Um eine Liste mit Konfigurationen zu erhalten, die für Ihre Instanz verfügbar sind, können Sie die API Liste-Konfigurationen verwenden.

Vorbereitende Schritte

Bevor Sie beginnen, müssen Sie prüfen, ob Sie über die erforderliche Zugriffsebene verfügen. Für die Verwaltung von Engine-Konfigurationen für Ihre Instanz benötigen Sie die Servicerolle Manager oder höher.

Unterstützte Zertifizierungsstellen

Sie können die folgenden Zertifizierungsstellen mit Ihrer Secrets Manager-Serviceinstanz integrieren.

Voraussetzungen - Let's Encrypt
Voraussetzungen

Bevor Sie Let's Encrypt verbinden, stellen Sie sicher, dass Sie:

  • den privaten Schlüssel erhalten, der mit Ihrem ACME-Konto (Automatic Certificate Management Environment) verknüpft ist.
    Das ACME-Protokoll ermöglicht es, vertrauenswürdige Browser-Zertifikate ohne menschliches Eingreifen automatisch zu erhalten. Bevor Sie Let's Encrypt-Zertifikate über Secrets Manager anfordern können, müssen Sie über ein ACME-Konto verfügen. Wenn Sie bereits über ein funktionierendes ACME-Konto verfügen, benötigen Sie den privaten Schlüssel, der bei der ersten Erstellung des Kontos generiert wurde.

  • Optional: Erstellen Sie ein ACME-Konto.
    Wenn Sie noch keinen ACME-Kunden oder -Account haben, können Sie mit dem ACME-Tool zur Erstellung von Accounts einen erstellen.

Zertifizierungsstellen können Gebühren erheben, wenn Sie ein Zertifikat bestellen oder verlängern. Darüber hinaus gelten verschiedene Ratenbegrenzungen. Secrets Manager übernimmt keine Kosten- oder Ratenbegrenzungen, die den Bestellzertifikaten zugeordnet sind. Weitere Informationen zu den bei der Bestellung von Let's Encrypt-Zertifikaten zu beachtenden Ratenbegrenzungen finden Sie in der Dokumentation zu Let's Encrypt.

Hinzufügen einer Zertifizierungsstellenkonfiguration in der Benutzerschnittstelle

Sie können Ihrer Serviceinstanz mithilfe der Secrets Manager-Benutzerschnittstelle Zertifizierungsstellenkonfigurationen hinzufügen.

  1. Klicken Sie in der Konsole auf das Symbol Menü Menüsymbol > Ressourcenliste.

  2. Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.

  3. Klicken Sie auf der Seite Engines für geheime Schlüssel auf die Registerkarte Öffentliche Zertifikate.

  4. Klicken Sie in der Tabelle "Zertifizierungsstellen" auf Hinzufügen.

  5. Wählen Sie die Zertifizierungsstelle aus, die Sie verwenden möchten. Momentan wird Let' s Encrypt unterstützt.

    1. Für die Produktionsumgebung wählen Sie Lets Encrypt aus.
    2. Für die Staging-Umgebung wählen Sie Let's Encrypt (Staging) aus. Wählen Sie diese Option aus, wenn Sie Zertifikate ausstellen möchten, die noch nicht produktionsbereit sind.

  6. Fügen Sie die Datei mit dem privaten Schlüssel im PEM-Format hinzu, die Ihrem ACME-Konto zugeordnet ist, oder geben Sie den zugehörigen Wert ein.

  7. Klicken Sie auf Hinzufügen.

    Sie können diese Konfiguration jetzt auswählen, wenn Sie ein Zertifikat bestellen. Wenn Sie eine vorhandene Konfiguration ändern oder entfernen möchten, klicken Sie in der Zeile der Konfiguration, die Sie aktualisieren wollen, auf Aktionen Menü Aktionssymbol.

Hinzufügen einer Konfiguration der Zertifizierungsstelle über die Befehlszeilenschnittstelle

Sie können Ihrer Dienstinstanz Zertifikatsautoritätskonfigurationen hinzufügen, indem Sie die Befehlszeilenschnittstelle Secrets Manager verwenden.

Führen Sie den Befehl ibmcloud secrets-manager configuration-create aus, um eine Konfiguration hinzuzufügen.

ibmcloud secrets-manager configuration-create '{
  config_type": "public_cert_configuration_ca_lets_encrypt",
  "lets_encrypt_environment": "production",
  "lets_encrypt_private_key": "-----BEGIN PRIVATE KEY-----\nMY_PRIVATE_KEY_WITH_NEWLINES_TRANSFORMED_TO_\N_CHARS-----...", "name": "my-lets-encrypt-config"
  }'

Zertifizierungsstellenkonfiguration mit der API hinzufügen

Sie können Ihrer Serviceinstanz Zertifizierungsberechtigungskonfigurationen hinzufügen, indem Sie die Secrets Manager-API aufrufen.

Das folgende Beispiel zeigt eine Abfrage, die Sie verwenden können, um eine Konfiguration für Let' s Encrypt hinzuzufügen. Wenn Sie die API aufrufen, ersetzen Sie den Wert private_key durch den privaten Schlüssel, der mit Ihrem ACME-Konto verknüpft ist.

Sie müssen die Datei mit Ihrem privaten Schlüssel in das einzeilige Format konvertieren, sodass sie von der Secrets Manager-API korrekt geparst werden kann. Sie können den folgenden UNIX-Befehl verwenden, um die Datei in eine einzeilige Zeichenfolge zu formatieren: awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' <private_key_file>

curl -X POST
  --H "Authorization: Bearer {iam_token}" \
  --H "Accept: application/json" \
  --H "Content-Type: application/json" \
  --d '{
    "config_type": "public_cert_configuration_ca_lets_encrypt",
    "lets_encrypt_environment": "production",
    "lets_encrypt_private_key": "-----BEGIN PRIVATE KEY-----\nMIIEowIBAAKCAQEAqcRbzV1wp0nVrPtEpMtnWMO6Js1q3rhREZluKZfu0Q8SY4H3",
    "name": "lets-encrypt-config"
  }' \
    "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations"

Eine erfolgreiche Antwort fügt die Konfiguration zu Ihrer Serviceinstanz hinzu. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter "Konfiguration hinzufügen ".

Hinzufügen einer Konfiguration für die Zertifizierungsstelle mit Terraform

Das folgende Beispiel zeigt eine Konfiguration, die Sie zum Erstellen einer Stammzertifizierungsstelle verwenden können.

    resource "ibm_sm_public_certificate_configuration_ca_lets_encrypt" "my_lets_encrypt_config" {
        instance_id = local.instance_id
        region = local.region
        name = "lets-encrypt-config"
        lets_encrypt_environment = "production"
        lets_encrypt_private_key = var.my_lets_encrypt_private_ley
    }

Löschen einer Zertifizierungsstellenkonfiguration in der Benutzerschnittstelle

Wenn Sie eine Konfiguration nicht mehr benötigen, können Sie sie über die Secrets Manager-Benutzerschnittstelle löschen.

Nachdem Sie eine Konfiguration gelöscht haben, können die Zertifikate, die der Zertifizierungsstelle zugeordnet sind, nicht mehr automatisch gedreht werden. Löschen Sie keine Konfigurationen, die Zertifikate in Ihren Produktionsanwendungen oder -services zugeordnet sind.

  1. Klicken Sie in der Konsole auf das Symbol Menü Menüsymbol > Ressourcenliste.

  2. Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.

  3. Klicken Sie auf der Seite Engines für geheime Schlüssel auf die Registerkarte Öffentliche Zertifikate.

  4. Verwenden Sie die Tabelle Zertifizierungsstellen, um die Konfigurationen in Ihrer Instanz anzuzeigen.

  5. Klicken Sie in der Zeile für die zu löschende Konfiguration auf das Aktionen Menü Aktionssymbol > Löschen.

  6. Geben Sie den Namen der Konfiguration ein, um den Löschvorgang zu bestätigen.

  7. Klicken Sie auf Löschen.

Löschen einer Zertifizierungsstellenkonfiguration aus der Befehlszeilenschnittstelle

Um eine Konfiguration einer Zertifizierungsstelle zu löschen, führen Sie den ibmcloud secrets-manager configuration-delete befehl aus.

ibmcloud secrets-manager configuration-delete my-configuration-name

Löschen einer Zertifizierungsstellenkonfiguration mit der API

Sie können Konfigurationen löschen, indem Sie die Secrets Manager-API aufrufen.

Das folgende Beispiel zeigt eine Abfrage, die Sie verwenden können, um eine Zertifizierungsstellenkonfiguration aus Ihrer Instanz zu entfernen. Wenn Sie die API aufrufen, ersetzen Sie {config_name} durch den Namen der zu löschenden Konfiguration.

Nachdem Sie eine Konfiguration gelöscht haben, können die Zertifikate, die der Zertifizierungsstelle zugeordnet sind, nicht mehr automatisch gedreht werden. Löschen Sie keine Konfigurationen, die Zertifikate in Ihren Produktionsanwendungen oder -services zugeordnet sind.

curl -X DELETE
  --H "Authorization: Bearer {iam_token}"\
  "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"

Bei einer erfolgreichen Antwort wird die Konfiguration aus der Serviceinstanz entfernt. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter "Konfiguration entfernen ".

Abrufen einer Konfiguration der Zertifizierungsstelle in der Benutzeroberfläche

Sie können den Wert der Zertifizierungsstelle über die Benutzerschnittstelle von Secrets Manager abrufen.

  1. Klicken Sie in der geheimen Engine für öffentliche Zertifikate auf das Menü Aktionen Symbol 'Aktionen' in der Tabelle 'Zertifizierungsstelle', um eine Liste der Optionen für Ihre Enginekonfiguration zu öffnen.
  2. Klicken Sie zum Anzeigen des Konfigurationswerts auf Konfiguration anzeigen.
  3. Klicken Sie auf Bestätigen, nachdem Sie sichergestellt haben, dass Sie sich in einer sicheren Umgebung befinden.

Der Wert des geheimen Schlüssels wird 15 Sekunden lang angezeigt und der Dialog wird geschlossen.

Konfiguration einer Zertifizierungsstelle über die Befehlszeilenschnittstelle abrufen

Sie können den Wert der Zertifizierungsstelle über die Befehlszeilenschnittstelle von Secrets Manager abrufen. Ersetzen Sie im folgenden Beispielbefehl den Namen der Enginekonfiguration durch den Namen Ihrer Konfiguration.

ibmcloud secrets-manager configuration --name EXAMPLE_CONFIG --service-url https://{instance_ID}.{region}.secrets-manager.appdomain.cloud

Ersetzen Sie {instance_ID} und {region} durch die Werte, die für Ihre Serviceinstanz von Secrets Manager gelten. Um die Endpunkt-URL zu finden, die für Ihre Instanz spezifisch ist, können Sie sie von der Seite Endpunkte in der Benutzerschnittstelle von Secrets Manager kopieren. Weitere Informationen finden Sie unter Endpunkt-URLs anzeigen.

Konfiguration einer Zertifizierungsstelle mit API abrufen

Sie können den Wert für die Zertifizierungsstelle mithilfe der API Secrets Manager abrufen. Ersetzen Sie in der folgenden Beispielanforderung den Namen der Enginekonfiguration durch den Namen Ihrer Konfiguration.

curl -X GET --location --header "Authorization: Bearer {iam_token}" \
--header "Accept: application/json" \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{name}"

Ersetzen Sie {instance_ID} und {region} durch die Werte, die für Ihre Serviceinstanz von Secrets Manager gelten. Um die Endpunkt-URL zu finden, die für Ihre Instanz spezifisch ist, können Sie sie von der Seite Endpunkte in der Benutzerschnittstelle von Secrets Manager kopieren. Weitere Informationen finden Sie unter Endpunkt-URLs anzeigen.

Eine erfolgreiche Antwort gibt den Wert der Motorkonfiguration zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anfrageparametern finden Sie unter "Get a secret ".

Nächste Schritte