Excluir autoridades certificadoras
Com o Certificate Authority Service, você pode excluir uma autoridade de certificação (CA, na sigla em inglês) atual. A CA é excluída permanentemente após um período de carência de 30 dias a partir do início do processo de exclusão. Após o período de carência, o CA Service exclui permanentemente a CA e todos os artefatos aninhados, como certificados e listas de revogação de certificados (CRLs).
Os recursos do Google Cloud gerenciados pelo cliente que estavam sendo usados pela CA excluída, como buckets do Cloud Storage ou chaves do Cloud Key Management Service, não são excluídos. Para mais informações sobre recursos gerenciados pelo Google e pelo cliente, consulte Gerenciar recursos.
Uma CA excluída não é faturada durante o período de carência. No entanto, se você restaurar a AC, será cobrado no nível de faturamento da AC pelo tempo em que ela existiu no estado DELETED
.
Antes de começar
Verifique se você tem o papel de Gerente de operações de serviço de CA (
roles/privateca.caManager
) ou o papel de Administrador de serviço de CA de (roles/privateca.admin
) Identity and Access Management (IAM). Para mais informações sobre os papéis predefinidos do IAM para o serviço da CA, consulte Controle de acesso com o IAM.Para mais informações sobre como conceder um papel do IAM, consulte Como conceder um único papel.
Verifique se a AC atende às seguintes condições:
- A AC precisa estar no estado
AWAITING_USER_ACTIVATION
,DISABLED
ouSTAGED
. Saiba mais em Estados de autoridades de certificação.
- A CA não pode conter certificados ativos. Recomendamos a revogação dos certificados emitidos pela AC antes de excluí-la permanentemente. Os certificados ativos não podem ser revogados depois que a CA é excluída permanentemente.
- A AC precisa estar no estado
Excluir uma AC
Para iniciar a exclusão da CA, faça o seguinte:
Console
- Acesse a página Certificate Authority Service no console do Google Cloud.
- Clique na guia CA manager.
- Na lista de CAs, selecione a CA que você quer excluir.
- Clique em Desativar.
- Na caixa de diálogo exibida, clique em Confirmar.
- Clique em Excluir.
- Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Verifique o estado da CA para garantir que ele esteja desativado. Só é possível excluir as ACs que estão no estado
DISABLED
.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
Substitua:
- CA_ID: o identificador exclusivo da AC.
- POOL_ID: o nome do pool de ACs que contém a AC.
Para mais informações sobre o comando
gcloud privateca roots describe
, consulte gcloud privateca roots describe.Se a AC não estiver desativada, execute o seguinte comando para desativá-la.
gcloud privateca roots disable CA_ID --pool=POOL_ID
Para mais informações sobre o comando
gcloud privateca roots disable
, consulte gcloud privateca roots turn.Exclua a AC.
gcloud privateca roots delete CA_ID --pool=POOL_ID
É possível excluir a AC, mesmo que ela tenha certificados ativos, incluindo a sinalização
--ignore-active-certificates
no seu comandogcloud
.Para mais informações sobre o comando
gcloud privateca roots delete
, consulte gcloud privateca roots delete.Quando solicitado, confirme que você quer excluir a AC.
Após a confirmação, a CA é programada para exclusão, e o período de carência de 30 dias começa. O comando mostra a data e a hora esperadas para a exclusão da AC.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Verificar a data de validade de uma AC excluída
Para ver quando uma AC será excluída permanentemente, faça o seguinte:
Console
- Clique na guia Gerenciador de pools de CA.
- Clique no nome do pool de ACs que continha a AC excluída.
Confira a data de validade da AC na tabela da página Pool de ACs.
gcloud
Para verificar a hora de exclusão esperada de uma CA, execute o seguinte comando:
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
Substitua:
- CA_ID: o nome da AC.
- POOL_ID: o nome do pool de ACs que continha a AC.
O comando retorna a data e a hora esperadas quando o serviço de AC exclui a AC.
2020-08-14T19:28:39
Para verificar se a AC foi excluída permanentemente, execute o seguinte comando:
gcloud privateca roots describe CA_ID --pool=POOL_ID
Se a AC for excluída, o comando retornará o erro a seguir.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found
A seguir
- Saiba como restaurar ACs.
- Saiba mais sobre os estados de CA.