인증 기관 삭제
Certificate Authority Service를 사용하면 기존 인증 기관(CA)을 삭제할 수 있습니다. CA는 삭제 프로세스가 시작되고 유예 기간 30일이 지난 후에 영구적으로 삭제됩니다. 유예 기간이 지나면 CA Service는 CA 및 인증서, 해지 인증서 목록(CRL) 등의 모든 중첩된 아티팩트를 영구적으로 삭제합니다.
Cloud Storage 버킷 또는 Cloud Key Management Service 키와 같이 삭제된 CA에서 사용 중이던 고객 관리 Google Cloud 리소스는 삭제되지 않습니다. Google 관리 및 고객 관리 리소스에 대한 자세한 내용은 리소스 관리를 참조하세요.
유예 기간 중에는 삭제된 CA에 대한 요금이 청구되지 않습니다. 하지만 CA를 복원하면 CA가 DELETED
상태였던 기간에 대해 CA의 결제 등급을 기준으로 요금이 청구됩니다.
시작하기 전에
CA Service 작업 관리자(
roles/privateca.caManager
) 또는 CA Service 관리자(roles/privateca.admin
) Identity and Access Management (IAM) 역할이 있는지 확인합니다. CA Service의 사전 정의된 IAM 역할에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.IAM 역할 부여에 대한 자세한 내용은 단일 역할 부여를 참조하세요.
CA가 다음 조건을 충족하는지 확인합니다.
- CA가
AWAITING_USER_ACTIVATION
,DISABLED
또는STAGED
상태여야 합니다. 자세한 내용은 인증 기관 상태를 참조하세요.
CA에 활성 인증서가 없어야 합니다. 인증서는 다음 조건을 충족하는 경우 활성 상태로 간주됩니다.
- 인증서에 유효한 '발급일' 및 '만료일'이 있습니다.
- 인증서가 취소되지 않았습니다.
- 인증서를 사용하는 기기 또는 시스템은 인증서를 발급한 인증 기관 (CA)을 신뢰합니다.
CA를 삭제하기 전에 CA에서 발급한 모든 활성 인증서가 취소되었는지 확인합니다. 삭제된 CA의 인증서는 취소할 수 없습니다.
- CA가
CA 삭제
CA 삭제를 시작하려면 다음을 수행합니다.
콘솔
- Google Cloud 콘솔에서 Certificate authorities 페이지로 이동합니다.
- CA 목록에서 삭제할 CA를 선택합니다.
- 삭제를 클릭합니다. 인증 기관 삭제 대화상자가 나타납니다.
-
선택사항: 다음 조건이 적용되는 경우 다음 체크박스 중 하나 또는 둘 다를 선택합니다.
-
활성 인증서가 있는 경우에도 이 CA 삭제
이 옵션을 사용하면 활성 인증서가 있는 CA를 삭제할 수 있습니다. 활성 인증서가 있는 CA를 삭제하면 이러한 인증서를 사용하는 웹사이트, 애플리케이션 또는 시스템이 실패할 수 있습니다. CA를 삭제하기 전에 CA에서 발급한 모든 활성 인증서를 취소하는 것이 좋습니다.
-
30일 유예 기간을 건너뛰고 이 CA를 즉시 삭제
30일의 유예 기간을 통해 이 CA에서 발급한 모든 인증서를 취소하고 이 CA에 종속된 시스템이 없는지 확인할 수 있습니다. 잠재적인 서비스 중단 및 데이터 손실을 방지하려면 비프로덕션 또는 테스트 환경에서 만 이 옵션을 사용하는 것이 좋습니다.
-
- 확인을 클릭합니다.
gcloud
CA 상태를 확인하여 사용 중지되었는지 확인합니다.
DISABLED
상태인 CA만 삭제할 수 있습니다.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
다음을 바꿉니다.
- CA_ID: CA의 고유 식별자입니다.
- POOL_ID: CA가 포함된 CA 풀의 이름입니다.
gcloud privateca roots describe
명령어에 대한 자세한 내용은 gcloud privateca roots describe를 참조하세요.CA가 사용 중지되지 않았으면 다음 명령어를 실행하여 CA를 사용 중지합니다.
gcloud privateca roots disable CA_ID --pool=POOL_ID
gcloud privateca roots disable
명령어에 대한 자세한 내용은 gcloud privateca roots disable을 참조하세요.CA를 삭제합니다.
gcloud privateca roots delete CA_ID --pool=POOL_ID
gcloud
명령어에--ignore-active-certificates
플래그를 포함하면 CA에 활성 인증서가 있더라도 CA를 삭제할 수 있습니다.gcloud privateca roots delete
명령어에 대한 자세한 내용은 gcloud privateca roots delete를 참조하세요.메시지가 표시되면 CA 삭제를 확인합니다.
확인 후 CA 삭제가 예약되고 30일 유예 기간이 시작됩니다. 이 명령어는 CA 삭제가 예정된 날짜 및 시간을 출력합니다.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
자바
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Python
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
삭제된 CA의 만료일 확인
CA가 영구적으로 삭제될 시점을 확인하려면 다음을 수행하세요.
콘솔
- CA 풀 관리자 탭을 클릭합니다.
- 삭제한 CA가 포함된 CA 풀의 이름을 클릭합니다.
CA 풀 페이지의 표에서 CA의 만료일을 확인할 수 있습니다.
gcloud
CA의 삭제 예정 시간을 확인하려면 다음 명령어를 실행하세요.
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
다음을 바꿉니다.
- CA_ID: CA의 이름입니다.
- POOL_ID: CA가 포함된 CA 풀의 이름입니다.
이 명령어는 CA Service가 CA를 삭제하도록 예정된 날짜 및 시간을 반환합니다.
2020-08-14T19:28:39
CA가 영구적으로 삭제되었는지 확인하려면 다음 명령어를 실행합니다.
gcloud privateca roots describe CA_ID --pool=POOL_ID
CA가 성공적으로 삭제되었으면 명령어가 다음 오류를 반환합니다.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found