Google Cloud コンソールを使用して証明書を発行する

このページでは、Google Cloud コンソールを使用して CA プールを作成し、Certificate Authority Service で証明書を発行する方法について説明します。

CA Service を使用すると、インフラストラクチャを管理することなく、プライベート認証局(CA)をデプロイして管理できます。

準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Certificate Authority Service API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Certificate Authority Service API.

    Enable the API

    8.

CA プールを作成します

CA プールは、複数の CA の集合です。CA プールには、ワークロードの停止やダウンタイムなしに信頼チェーンをローテーションする機能があります。CA プールは単一の Google Cloud のロケーションに存在し、作成後に変更することはできません。

デフォルト設定で CA プールを作成するには、次の手順を行います。

  1. Google Cloud コンソールの [Certificate Authority Service] ページに移動します。

    Certificate Authority Service に移動

  2. [CA プール マネージャー] タブで、[プールを作成] をクリックします。

  3. [CA プールを作成] ページで、CA プールの名前を追加します。

  4. [リージョン] をクリックし、CA プールのリージョンとして [us-east1(サウスカロライナ)] を選択します。

  5. 各ステップで [次へ] をクリックします。

  6. [完了] をクリックします。

この CA プールは、[CA プール マネージャー] タブの CA プールのリストに表示されます。

ルート CA を作成する

CA プールは、作成時に空です。証明書をリクエストするには、CA プールに CA を追加する必要があります。

ルート CA には、クライアントのトラストストアに自己署名証明書があります。このセクションでは、作成した CA プールにルート CA を追加する方法について説明します。

ルート CA を CA プールに追加するには、次の手順を行います。

  1. [CA マネージャー] をクリックします。

  2. [CA を作成] をクリックします。

    CA プールに新しい CA を作成します。

  3. [リージョン] をクリックし、CA のリージョンとして [us-east1(サウスカロライナ)] を選択します。

  4. [次へ] をクリックします。

  5. [組織(O)] フィールドに、組織の名前を入力します。

  6. [CA 共通名(CN)] フィールドに、CA の名前を入力します。CA 名をメモします。証明書をリクエストするときに必要になります。

  7. [プール ID] フィールドに、CA プールの名前を入力します。

  8. 各ステップで [次へ] をクリックします。

  9. CA の詳細を確認し、[作成] をクリックします。

証明書を生成

CA を使用して証明書をリクエストするには、次の手順を行います。

  1. [認証局] ページで、[証明書をリクエスト] をクリックします。

  2. [詳細を入力] をクリックします。

    [詳細を入力] をクリックして証明書をリクエストします。

  3. [ドメイン名を追加] で、この証明書で保護するサイトの完全修飾ドメイン名を入力します。

  4. [次へ] をクリックします。

  5. [鍵のサイズとアルゴリズムを構成する] で、[続行] をクリックします。

    生成された証明書が表示されます。この証明書はコピーまたはダウンロードできます。証明書をコピーするには、[] をクリックします。

    生成された証明書をコピーまたはダウンロードします。

  6. [完了] をクリックします。

クリーンアップ

証明書を取り消し、このクイックスタート用に作成した CA プール、CA、プロジェクトを削除してクリーンアップします。

  1. 証明書を取り消します。

    1. [プライベート証明書マネージャー] タブをクリックします。
    2. 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
    3. [取り消し] をクリックします。
    4. 表示されたダイアログで [登録解除] をクリックします。

  2. CA を削除します。

    CA は、CA が発行したすべての証明書を取り消した場合にのみ削除できます。

    証明書を取り消したら、次の操作を行います。

    1. CA のリストで、削除する CA を選択します。
    2. [削除] をクリックします。[認証局の削除] ダイアログが表示されます。
    3. 省略可: 次の条件に該当する場合は、次のチェックボックスのいずれかまたは両方を選択します。

      • 有効な証明書がある場合でも、この CA を削除する

        このオプションを使用すると、有効な証明書を持つ CA を削除できます。有効な証明書を持つ CA を削除すると、それらの証明書に依存するウェブサイト、アプリケーション、システムで障害が発生する可能性があります。CA を削除する前に、CA によって発行されたすべての有効な証明書を取り消すことをおすすめします。

      • 30 日の猶予期間をスキップして、この CA を直ちに削除する

        30 日間の猶予期間は、この CA によって発行されたすべての証明書を取り消し、この CA に依存するシステムがないことを確認するための時間です。サービス停止やデータ損失を防ぐため、このオプションは非本番環境またはテスト環境でのみ使用することをおすすめします。

    4. [確認] をクリックします。

    CA の状態が Deleted に変わります。CA は、削除を開始してから 30 日後に完全に削除されます。

  3. CA プールを削除します。

    CA プールを削除できるのは、CA Service が CA を完全に削除した後のみです。

    CA プール内の CA を削除したら、次の手順を行います。

    1. [CA プール マネージャー] タブをクリックします。
    2. CA プールのリストで、削除する CA プールを選択します。
    3. [削除] をクリックします。
      4. CA プールを完全に削除します。
    4. 表示されたダイアログ ボックスで [確認] をクリックします。

  4. プロジェクトを削除する手順は次のとおりです。

    1. In the Google Cloud console, go to the Manage resources page.

      Go to Manage resources

    2. In the project list, select the project that you want to delete, and then click Delete.
    3. In the dialog, type the project ID, and then click Shut down to delete the project.

次のステップ