Emitir um certificado usando o console do Google Cloud
Nesta página, explicamos como gerar ou emitir certificados pelo serviço de autoridade certificadora usando o console do Google Cloud.
Com o CA Service, você pode implantar e gerenciar autoridades de certificação (ACs) particulares sem precisar gerenciar a infraestrutura.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Certificate Authority Service API.
Criar um pool de CA
Um pool de ACs é uma coleção de várias ACs. Um pool de ACs permite alternar as cadeias de confiança sem interrupções ou inatividade das cargas de trabalho. Um pool de CA está em um único localGoogle Cloud que não pode ser alterado após a criação.
Para criar um pool de AC com as configurações padrão, faça o seguinte:
Acesse a página Serviço de autoridade certificadora no console do Google Cloud.
Na guia Gerenciador de pools de CA, clique em Criar pool.
Na página Criar pool de ACs, adicione um nome para o pool de ACs.
Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs.
Clique em Próxima em cada etapa.
Clique em Concluído.
Você pode conferir esse pool de ACs na lista de pools de ACs na guia Gerenciador de pools de ACs.
Crie uma AC raiz:
Um pool de AC está vazio na criação. É necessário adicionar uma AC ao pool de ACs para solicitar certificados.
Uma AC raiz tem um certificado autoassinado que reside no armazenamento de confiança do cliente. Esta seção explica como adicionar uma AC-raiz ao pool de ACs que você criou.
Para adicionar uma CA raiz ao pool de CAs, faça o seguinte:
- Na página Serviço de autoridade certificadora, clique em Gerenciador de CA.
- Clique na seta de expansão Criar AC e selecione Criar AC em um pool de ACs atual.
- Selecione o pool de ACs que você criou na etapa anterior.
- Clique em Continuar.
- Na seção Selecionar tipo de CA, clique em Continuar.
- No campo Organização (O), insira o nome da sua organização.
- No campo Nome comum da AC (CN), insira o nome da AC. Anote o nome da AC, porque você vai precisar dele para solicitar um certificado.
- Clique em Continuar em cada etapa.
- Revise os detalhes da AC e clique em Concluído.
Opcional: criar um pool de CAs subordinadas
Um pool de ACs subordinadas permite organizar e gerenciar várias ACs subordinadas. A AC raiz valida e assina todas as ACs em um pool de ACs subordinado.
Para criar um pool de CA subordinada com as configurações padrão, faça o seguinte:
- Na página Serviço de autoridade certificadora, clique em Gerenciador de pools de CA.
- Clique em Criar pool.
Na página Criar pool de ACs, adicione um nome para o pool de ACs subordinado.
Clique em Região e selecione us-east1 (Carolina do Sul) como a região do pool de ACs subordinado.
Clique em Próxima em cada etapa.
Clique em Concluído.
Verifique se o pool de AC subordinada está disponível na lista de pools de ACs na guia Gerenciador de pools de ACs.
Opcional: crie uma AC subordinada assinada por uma AC raiz armazenada em Google Cloud
As ACs subordinadas são responsáveis por distribuir certificados para as entidades finais que precisam deles, como servidores da Web, usuários e dispositivos. As ACs subordinadas criam uma camada de separação entre a AC raiz altamente sensível e a emissão de certificados diária.
Para gerar uma AC subordinada assinada por uma AC raiz criada anteriormente, faça o seguinte:
- Na página Serviço de autoridade certificadora, clique em Gerenciador de CA.
- Clique na seta de expansão Criar AC e selecione Criar AC em um pool de ACs atual.
- Selecione o pool de AC subordinado que você criou.
- Clique em Continuar.
- Clique em CA subordinada.
- Clique em A AC raiz está em Google Cloud.
- No campo Autoridade certificadora de assinatura, clique em Procurar.
- Na caixa de diálogo Select a CA, selecione a AC raiz que você criou na seção anterior.
- Clique em Confirmar.
- No campo Válido por, insira o período de validade do certificado da AC subordinado.
- Clique em Continuar.
- No campo Organização (O), insira o nome da sua organização.
- No campo Nome comum da AC (CN), insira o nome da AC subordinada. Anote o nome da AC subordinada, porque você vai precisar dele para solicitar um certificado.
- Clique em Continuar em cada etapa.
- Revise os detalhes da AC subordinada e clique em Concluído.
Solicitar um certificado
Para solicitar um certificado usando a AC, faça o seguinte:
- Na página Autoridade de certificação, clique em Solicitar um certificado.
Clique em Inserir detalhes.
Em Adicionar nome de domínio, digite o nome de domínio totalmente qualificado do site que você quer proteger com este certificado.
Clique em Próxima.
Em Configurar o tamanho e o algoritmo da chave, clique em Continuar.
O certificado gerado vai aparecer e poderá ser copiado ou salvo. Para copiar o certificado, clique em .
Clique em Concluído.
Limpar
Faça uma limpeza revogar o certificado e excluir o pool de ACs, a AC e o projeto criado para este guia de início rápido.
Revogue o certificado.
- Clique na guia Gerenciador de certificados particulares.
- Na lista de certificados, clique em Ver mais na linha do certificado que você quer excluir.
- Clique em Revogar.
- Na caixa de diálogo exibida, clique em Confirmar.
Exclua a AC.
Só é possível excluir uma AC depois de revogar todos os certificados emitidos por ela.
Depois de revogar o certificado, faça o seguinte:
- Na lista de ACs, selecione a que você quer excluir.
- Clique em Excluir. A caixa de diálogo Delete Certificate Authority é exibida.
-
Opcional: marque uma ou ambas as caixas de seleção a seguir se as condições forem válidas para você:
-
Excluir esta AC, mesmo que haja certificados ativos
Com essa opção, você pode excluir uma AC com certificados ativos. A exclusão de uma AC com certificados ativos pode causar falhas em sites, aplicativos ou sistemas que dependem desses certificados. Recomendamos que você revogue todos os certificados ativos emitidos por uma AC antes de excluí-la.
-
Pular o período de carência de 30 dias e excluir essa AC imediatamente
O período de carência de 30 dias permite que você revogue todos os certificados emitidos por essa AC e verifique se nenhum sistema depende dela. Recomendamos que você use essa opção somente em ambientes de teste ou que não sejam de produção para evitar possíveis falhas e perda de dados.
-
- Clique em Confirmar.
O estado da CA muda para
Deleted. A CA é excluída permanentemente 30 dias após o início da exclusão.Exclua o pool de ACs.
Só é possível excluir um pool de ACs depois que o serviço de ACs exclui a AC permanentemente.
Depois de excluir a AC no pool de ACs, faça o seguinte:
- Clique na guia Gerenciador de pools de AC.
- Na lista de pools de ACs, selecione o que você quer excluir.
- Clique em Excluir.
- Na caixa de diálogo que aparece, clique em Confirmar.
Para excluir o projeto, faça o seguinte:
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
A seguir
- Saiba mais sobre pools de ACs.
- Saiba como criar um pool de ACs.
- Saiba como criar ACs.
- Saiba mais sobre como solicitar certificados.
- Saiba como controlar o tipo de certificados que um pool de ACs pode emitir.