認証局を削除する
Certificate Authority Service を使用すると、既存の認証局(CA)を削除できます。CA は、削除プロセスが開始されてから 30 日間の猶予期間が経過すると、完全に削除されます。猶予期間が経過すると、CA Service は CA と、ネストされたすべてのアーティファクト(証明書や証明書失効リスト(CRL)など)を完全に削除します。
削除された CA によって使用されていた顧客管理の Google Cloud リソース(Cloud Storage バケットや Cloud Key Management Service 鍵など)は削除されません。Google 管理リソースとお客様管理リソースの詳細については、リソースを管理するをご覧ください。
削除された CA は猶予期間中は課金されません。ただし、CA を復元すると、CA が DELETED
状態であった間、CA の課金ティアで課金されます。
準備
CA Service オペレーション マネージャー(
roles/privateca.caManager
)または CA Service 管理者(roles/privateca.admin
)の Identity and Access Management(IAM)ロールがあることを確認します。CA Service の事前定義された IAM ロールの詳細については、IAM を使用したアクセス制御をご覧ください。IAM ロールの付与については、単一のロールを付与するをご覧ください。
CA が次の条件を満たしていることを確認します。
- CA は
AWAITING_USER_ACTIVATION
、DISABLED
、またはSTAGED
の状態である必要があります。詳細については、認証局の状態をご覧ください。
CA に有効な証明書を含めることはできません。証明書が有効と見なされるには、次の条件を満たしている必要があります。
- 証明書に有効な「開始日」と「終了日」が設定されている。
- 証明書が無効になっていない。
- 証明書を使用するデバイスまたはシステムが、証明書を発行した認証局(CA)を信頼している。
CA を削除する前に、CA が発行したアクティブな証明書がすべて取り消されていることを確認します。削除された CA の証明書を取り消すことはできません。
- CA は
CA を削除する
CA の削除を開始するには、次の手順を行います。
Console
- Google Cloud コンソールの [証明書機関] ページに移動します。
- CA のリストで、削除する CA を選択します。
- [削除] をクリックします。[認証局の削除] ダイアログが表示されます。
-
省略可: 次の条件に該当する場合は、次のチェックボックスのいずれかまたは両方を選択します。
-
有効な証明書がある場合でも、この CA を削除する
このオプションを使用すると、有効な証明書を持つ CA を削除できます。有効な証明書を持つ CA を削除すると、それらの証明書に依存するウェブサイト、アプリケーション、システムで障害が発生する可能性があります。CA を削除する前に、CA によって発行されたすべての有効な証明書を取り消すことをおすすめします。
-
30 日の猶予期間をスキップして、この CA を直ちに削除する
30 日間の猶予期間は、この CA によって発行されたすべての証明書を取り消し、この CA に依存するシステムがないことを確認するための時間です。サービス停止やデータ損失を防ぐため、このオプションは非本番環境またはテスト環境でのみ使用することをおすすめします。
-
- [確認] をクリックします。
gcloud
CA の状態をチェックして、無効になっていることを確認します。削除できるのは、
DISABLED
状態の CA のみです。gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
以下を置き換えます。
- CA_ID: CA の固有識別子。
- POOL_ID: CA を含む CA プールの名前。
gcloud privateca roots describe
コマンドの詳細については、gcloud privateca roots describe をご覧ください。CA が無効になっていない場合は、次のコマンドを実行して CA を無効にします。
gcloud privateca roots disable CA_ID --pool=POOL_ID
gcloud privateca roots disable
コマンドの詳細については、gcloud privateca roots disable をご覧ください。CA を削除します。
gcloud privateca roots delete CA_ID --pool=POOL_ID
CA に有効な証明書があっても、
gcloud
コマンドで--ignore-active-certificates
フラグを指定すると CA を削除できます。gcloud privateca roots delete
コマンドの詳細については、gcloud privateca roots delete をご覧ください。プロンプトが表示されたら、CA の削除を確認します。
確認後、CA が削除されるようにスケジュールされ、30 日間の猶予期間が開始します。このコマンドは、CA が削除される予定の日時を出力します。
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
削除された CA の有効期限を確認する
CA が完全に削除される日時を確認するには、次の操作を行います。
Console
- [CA プール マネージャー] タブをクリックします。
- 削除した CA を含む CA プールの名前をクリックします。
CA の有効期限は、[CA プール] ページの表で確認できます。
gcloud
CA の予想削除時間を確認するには、次のコマンドを実行します。
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
以下を置き換えます。
- CA_ID: CA の名前。
- POOL_ID: CA を含む CA プールの名前。
このコマンドは、CA Service が CA を削除する予想日時を返します。
2020-08-14T19:28:39
CA が完全に削除されたことを確認するには、次のコマンドを実行します。
gcloud privateca roots describe CA_ID --pool=POOL_ID
CA が正常に削除されると、コマンドから次のエラーが返されます。
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found