Zertifizierungsstellen löschen
Mit Certificate Authority Service können Sie eine vorhandene Zertifizierungsstelle löschen. Die Zertifizierungsstelle wird nach einem 30-tägigen Kulanzzeitraum ab Beginn des Löschvorgangs endgültig gelöscht. Nach dem Kulanzzeitraums löscht CA Service die Zertifizierungsstelle und alle verschachtelten Artefakte wie Zertifikate und Zertifikatssperrlisten dauerhaft.
Vom Kunden verwaltete Google Cloud-Ressourcen, die von der gelöschten Zertifizierungsstelle verwendet wurden, z. B. Cloud Storage-Buckets oder Cloud Key Management Service-Schlüssel, werden nicht gelöscht. Weitere Informationen zu von Google verwalteten und vom Kunden verwalteten Ressourcen finden Sie unter Ressourcen verwalten.
Gelöschte Zertifizierungsstellen werden während des Kulanzzeitraums nicht in Rechnung gestellt. Wenn Sie die DELETED
jedoch wiederherstellen, werden Ihnen die Kosten für die Zeit in Rechnung gestellt, in der sich die DELETED
im Status DELETED
befand.
Hinweise
Sie benötigen die IAM-Rolle „CA Service Operation Manager“ (
roles/privateca.caManager
) oder „CA Service Admin“ (roles/privateca.admin
). Weitere Informationen Informationen zu den vordefinierten IAM-Rollen für Weitere Informationen zu CA Service finden Sie unter Zugriffssteuerung mit IAM.Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelnen Nutzer zuweisen Rolle.
Die Zertifizierungsstelle muss die folgenden Bedingungen erfüllen:
- Die Zertifizierungsstelle muss den Status
AWAITING_USER_ACTIVATION
,DISABLED
oderSTAGED
haben. Weitere Informationen finden Sie unter Status der Zertifizierungsstelle.
- Die Zertifizierungsstelle darf keine aktiven Zertifikate enthalten. Wir empfehlen, die von der Zertifizierungsstelle ausgestellten Zertifikate zu widerrufen, bevor Sie die Zertifizierungsstelle endgültig löschen. Die aktiven Zertifikate können nicht widerrufen werden, nachdem die Zertifizierungsstelle endgültig gelöscht wurde.
- Die Zertifizierungsstelle muss den Status
Zertifizierungsstelle löschen
So starten Sie das Löschen der Zertifizierungsstelle:
Console
- Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
- Klicken Sie auf den Tab CA Manager.
- Wählen Sie in der Liste der Zertifizierungsstellen die Zertifizierungsstelle aus, die Sie löschen möchten.
- Klicken Sie auf Deaktivieren.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.
- Klicken Sie auf Löschen.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.
gcloud
Prüfen Sie, ob der Zertifizierungsstellenstatus deaktiviert ist. Sie können nur Zertifizierungsstellen löschen, die sich im Status
DISABLED
befinden.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
Ersetzen Sie Folgendes:
- CA_ID: Die eindeutige Kennung der Zertifizierungsstelle.
- POOL_ID: Der Name des Zertifizierungsstellenpools, der die Zertifizierungsstelle enthält.
Weitere Informationen zum Befehl
gcloud privateca roots describe
finden Sie unter gcloud privatecaroots describe.Wenn die Zertifizierungsstelle nicht deaktiviert ist, führen Sie zum Deaktivieren den folgenden Befehl aus der Zertifizierungsstelle.
gcloud privateca roots disable CA_ID --pool=POOL_ID
Weitere Informationen zum Befehl
gcloud privateca roots disable
finden Sie unter gcloud privatecarootsdisable.Löschen Sie die Zertifizierungsstelle.
gcloud privateca roots delete CA_ID --pool=POOL_ID
Sie können die Zertifizierungsstelle auch dann löschen, wenn sie aktive Zertifikate hat. Gehen Sie dazu folgendermaßen vor: einschließlich des Flags
--ignore-active-certificates
ingcloud
.Weitere Informationen zum Befehl
gcloud privateca roots delete
finden Sie unter gcloud privatecaroots delete.Wenn Sie dazu aufgefordert werden, bestätigen Sie, dass Sie die Zertifizierungsstelle löschen möchten.
Nach der Bestätigung wird die Zertifizierungsstelle zum Löschen vorgemerkt und der 30-tägige Kulanzzeitraum beginnt. Der Befehl gibt das erwartete Datum und die erwartete Uhrzeit aus, an dem die Zertifizierungsstelle gelöscht wird.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ablaufdatum einer gelöschten Zertifizierungsstelle prüfen
So können Sie sehen, wann eine Zertifizierungsstelle endgültig gelöscht wird:
Console
- Klicken Sie auf den Tab CA-Poolmanager.
- Klicken Sie auf den Namen des Zertifizierungsstellenpools, der die gelöschte Zertifizierungsstelle enthält.
Das Ablaufdatum der Zertifizierungsstelle finden Sie in der Tabelle im CA-Pool. Seite.
gcloud
Führen Sie den folgenden Befehl aus, um den erwarteten Löschzeitpunkt für eine Zertifizierungsstelle zu prüfen:
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
Ersetzen Sie Folgendes:
- CA_ID: Der Name der Zertifizierungsstelle.
- POOL_ID: Der Name des CA-Pools, der die Zertifizierungsstelle enthielt.
Der Befehl gibt das voraussichtliche Datum und die voraussichtliche Uhrzeit zurück, zu der der CA-Dienst die Zertifizierungsstelle löscht.
2020-08-14T19:28:39
Prüfen Sie mit dem folgenden Befehl, ob die Zertifizierungsstelle endgültig gelöscht wurde:
gcloud privateca roots describe CA_ID --pool=POOL_ID
Wenn die Zertifizierungsstelle erfolgreich gelöscht wurde, gibt der Befehl den folgenden Fehler zurück.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found
Nächste Schritte
- Informationen zum Wiederherstellen von Zertifizierungsstellen
- Weitere Informationen zu CA-Bundesstaaten