Borrar autoridades certificadoras
Certificate Authority Service te permite borrar una autoridad certificadora (AC) existente. La AC se borra de forma permanente después de un período de gracia de 30 días a partir del momento en que se inicia el proceso de eliminación. Después del período de gracia, el servicio de CA borra de forma permanente la CA y todos los artefactos anidados, como los certificados y las listas de revocación de certificados (CRL).
No se borrarán los recursos de Google Cloud administrados por el cliente que usaba la AC borrada, como los buckets de Cloud Storage o las claves de Cloud Key Management Service. Para obtener más información sobre los recursos administrados por Google y por el cliente, consulta Administra recursos.
Las AC borradas no se facturan durante el período de gracia. Sin embargo, si restableces la AC, se te cobrará en función del nivel de facturación de la AC por el tiempo que haya existido en el estado DELETED
.
Antes de comenzar
Asegúrate de tener el rol de administrador de operaciones de CA Service (
roles/privateca.caManager
) o de administrador de CA Service (roles/privateca.admin
) en Identity and Access Management (IAM). Si deseas obtener más información sobre las funciones predefinidas de IAM para el servicio de CA, consulta Control de acceso con IAM.Para obtener información sobre cómo otorgar un rol de IAM, consulta Otorga un solo rol.
Asegúrate de que la AC cumpla con las siguientes condiciones:
- La AC debe tener el estado
AWAITING_USER_ACTIVATION
,DISABLED
oSTAGED
. Para obtener más información, consulta Estados de las autoridades certificadoras.
- La AC no debe contener certificados activos. Te recomendamos revocar los certificados emitidos por la AC antes de borrar de forma permanente la AC. Los certificados activos no se pueden revocar después de que la AC se borra de forma permanente.
- La AC debe tener el estado
Borra una AC
Para iniciar la eliminación de la AC, haz lo siguiente:
Console
- Ve a la página Certificate Authority Service en la consola de Google Cloud.
- Haz clic en la pestaña Administrador de CA.
- En la lista de AC, selecciona la que deseas borrar.
- Haz clic en Inhabilitar.
- En el cuadro de diálogo que se abre, haz clic en Confirmar.
- Haz clic en Borrar.
- En el cuadro de diálogo que se abre, haz clic en Confirmar.
gcloud
Verifica el estado de la AC para asegurarte de que esté inhabilitada. Solo puedes borrar las AC que tengan el estado
DISABLED
.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
Reemplaza lo siguiente:
- CA_ID: Es el identificador único de la AC.
- POOL_ID: Es el nombre del grupo de AC que contiene la AC.
Para obtener más información sobre el comando
gcloud privateca roots describe
, consulta gcloud privateca roots describe.Si la AC no está inhabilitada, ejecuta el siguiente comando para inhabilitarla.
gcloud privateca roots disable CA_ID --pool=POOL_ID
Para obtener más información sobre el comando
gcloud privateca roots disable
, consulta gcloud privateca roots disabled.Borra la AC.
gcloud privateca roots delete CA_ID --pool=POOL_ID
Puedes borrar la AC incluso si tiene certificados activos. Para ello, incluye la marca
--ignore-active-certificates
en el comandogcloud
.Para obtener más información sobre el comando
gcloud privateca roots delete
, consulta gcloud privateca roots delete.Cuando se te solicite, confirma que deseas borrar la AC.
Después de confirmar, se programa la eliminación de la CA y comienza el período de gracia de 30 días. El comando muestra la fecha y hora esperadas en las que se borrará la AC.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Verifica la fecha de vencimiento de una AC borrada
Para ver cuándo se borrará una AC de forma permanente, haz lo siguiente:
Console
- Haz clic en la pestaña Administrador de grupos de AC.
- Haz clic en el nombre del grupo de AC que contenía la AC que borraste.
Puedes ver la fecha de vencimiento de la AC en la tabla de la página Grupo de AC.
gcloud
Para comprobar el tiempo de eliminación esperado de una AC, ejecuta el siguiente comando:
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
Reemplaza lo siguiente:
- CA_ID: Es el nombre de la AC.
- POOL_ID: Es el nombre del grupo de AC que contenía la AC.
El comando muestra la fecha y hora esperadas en las que el servicio de CA borra la AC.
2020-08-14T19:28:39
Para verificar que la AC se haya borrado de forma permanente, ejecuta el siguiente comando:
gcloud privateca roots describe CA_ID --pool=POOL_ID
Si la AC se borra de forma correcta, el comando mostrará el siguiente error.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found
¿Qué sigue?
- Obtén más información sobre cómo restablecer las AC.
- Obtén más información sobre los estados de AC.