使用 Google Cloud 控制台颁发证书

本页介绍了如何使用 Google Cloud 控制台通过证书颁发机构服务生成或颁发证书。

借助 CA Service,您可以部署和管理私有证书授权机构 (CA),而无需管理基础设施。

准备工作

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

创建 CA 池

CA 池是包含多个 CA 的集合。CA 池能够轮替信任链,而不中断或停止工作负载。CA 池位于单个 Google Cloud 位置,您无法在创建后更改该位置。

如需使用默认设置创建 CA 池,请执行以下操作:

  1. 前往 Google Cloud 控制台中的 Certificate Authority Service 页面。

    前往 Certificate Authority Service

  2. CA 池管理器标签页下,点击 创建池

  3. 创建 CA 池页面上,为 CA 池添加名称。

  4. 点击区域,然后选择 us-east1(南卡罗来纳) 作为 CA 池的区域。

  5. 在完成每一步后,点击下一步

  6. 点击完成

您可以在 CA 池管理器标签页下的 CA 池列表中看到此 CA 池。

创建根 CA

CA 池在创建时为空。您必须向 CA 池添加 CA,才能请求证书。

根 CA 具有位于客户端信任存储区中的自签名证书。本部分介绍了如何向您创建的 CA 池添加根 CA。

如需向 CA 池添加根 CA,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 管理器
  2. 点击创建 CA 展开箭头,然后选择在现有 CA 池中创建 CA
  3. 选择您在上一步中创建的 CA 池。
  4. 点击继续
  5. 选择 CA 类型部分中,点击继续
  6. Organization (O) 字段中,输入贵组织的名称。
  7. CA 通用名称 (CN) 字段中,输入 CA 的名称。请记下 CA 名称,因为您需要它来请求证书。
  8. 在完成每一步后,点击继续
  9. 查看 CA 的详细信息,然后点击完成

可选:创建从属 CA 池

借助从属 CA 池,您可以整理和管理多个从属 CA。根 CA 会验证和签署从属 CA 池中的所有 CA。

如需使用默认设置创建从属 CA 池,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 池管理器
  2. 点击 Create pool(创建池)。

  3. 创建 CA 池页面上,为从属 CA 池添加名称。

  4. 点击区域,然后选择 us-east1(南卡罗来纳) 作为子级 CA 池的区域。

  5. 在完成每一步后,点击下一步

  6. 点击完成

确保从属 CA 池在 CA 池管理器标签页下的 CA 池列表中可用。

可选:创建由存储在 Google Cloud中的根 CA 签名的从属 CA

子 CA 负责将证书分发给需要它们的最终实体,例如网络服务器、用户和设备。从属 CA 可在高度敏感的根 CA 与日常证书颁发之间创建一层隔离层。

如需生成由您之前创建的根 CA 签名的从属 CA,请执行以下操作:

  1. Certificate Authority Service 页面上,点击 CA 管理器
  2. 点击创建 CA 展开箭头,然后选择在现有 CA 池中创建 CA
  3. 选择您创建的从属 CA 池。
  4. 点击继续
  5. 点击从属 CA
  6. 点击根 CA 位于 Google Cloud
  7. 签名证书授权机构字段中,点击浏览
  8. 选择 CA 对话框中,选择您在上一部分中创建的根 CA。
  9. 点击确认
  10. 有效期字段中,输入您希望子级 CA 证书有效的时长。
  11. 点击继续
  12. Organization (O) 字段中,输入贵组织的名称。
  13. CA 通用名称 (CN) 字段中,输入子 CA 的名称。请记下从属 CA 名称,因为您需要它来请求证书。
  14. 在完成每一步后,点击继续
  15. 查看子 CA 的详细信息,然后点击完成

请求证书

如需使用 CA 请求证书,请执行以下操作:

  1. 证书授权机构页面上,点击申请证书

  2. 点击输入详细信息

    点击“输入详细信息”以请求证书。

  3. 添加域名下,输入您要使用此证书保护的网站的完全限定域名。

  4. 点击下一步

  5. 配置密钥大小和算法下,点击继续

    您会看到生成的证书,可以复制或下载。如需复制证书,请点击

    复制或下载生成的证书。

  6. 点击完成

清理

撤消证书并删除您为本快速入门创建的 CA 池、CA 和项目,以进行清理。

  1. 撤消证书。

    1. 点击专用证书管理器标签页。
    2. 在证书列表中,点击要删除的证书对应的行中的 查看更多
    3. 点击撤消
    4. 在随即打开的对话框中,点击确认

  2. 删除 CA。

    只有在撤消该 CA 颁发的所有证书后,您才能删除该 CA。

    撤消证书后,请执行以下操作:

    1. 在 CA 列表中,选择要删除的 CA。
    2. 点击 删除。系统随即会显示删除证书授权机构对话框。
    3. 可选:如果您符合以下条件,请选中其中一个或两个复选框:

      • 删除此 CA(即使存在有效证书)

        通过此选项,您可以删除包含有效证书的 CA。删除包含有效证书的 CA 可能会导致依赖于这些证书的网站、应用或系统失败。我们建议您先撤消 CA 颁发的所有有效证书,然后再删除 CA。

      • 跳过 30 天的宽限期,立即删除此 CA

        30 天的宽限期可让您撤消此 CA 颁发的所有证书,并验证没有任何系统依赖于此 CA。我们建议在非生产环境或测试环境中使用此选项,以防止可能的中断和数据丢失。

    4. 点击确认

    CA 状态会更改为 Deleted。您发起删除操作后,CA 会在 30 天后永久删除。

  3. 删除 CA 池。

    只有在 CA Service 永久删除 CA 后,您才能删除 CA 池。

    在 CA 池中删除 CA 后,请执行以下操作:

    1. 点击 CA 池管理器标签页。
    2. 在 CA 池列表中,选择要删除的 CA 池。
    3. 点击 删除
      4. 永久删除 CA 池。
    4. 在随即打开的对话框中,点击确认

  4. 如需删除项目,请执行以下操作:

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

后续步骤