Supprimer les autorités de certification
Certificate Authority Service vous permet de supprimer une autorité de certification (CA) existante. Après un délai de grâce de 30 jours à compter du lancement du processus de suppression, l'autorité de certification est définitivement supprimée. Après ce délai de grâce, CA Service supprime définitivement l'autorité de certification et tous les artefacts imbriqués, tels que les certificats et les listes de révocation de certificats (LRC).
Toutes les ressources Google Cloud gérées par le client qui étaient utilisées par l'autorité de certification supprimée, telles que les buckets Cloud Storage ou les clés Cloud Key Management Service, ne sont pas supprimées. Pour en savoir plus sur les ressources gérées par Google et par le client, consultez la page Gérer les ressources.
Une autorité de certification supprimée n'est pas facturée pendant le délai de grâce. Toutefois, si vous restaurez l'autorité de certification, vous serez facturé selon le niveau de facturation de l'autorité de certification pour la durée pendant laquelle l'autorité de certification existait à l'état DELETED
.
Avant de commencer
Assurez-vous de disposer du rôle Identity and Access Management (IAM) CA Service Operation Manager (
roles/privateca.caManager
) ou du rôle IAM (Identity and Access Management) d'administrateur du service CA (roles/privateca.admin
). Pour en savoir plus sur les rôles IAM prédéfinis pour le service de CA, consultez la page Contrôle des accès avec IAM.Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la page Attribuer un rôle unique.
Assurez-vous que l'autorité de certification remplit les conditions suivantes:
- L'autorité de certification doit présenter l'état
AWAITING_USER_ACTIVATION
,DISABLED
ouSTAGED
. Pour en savoir plus, consultez la section États des autorités de certification.
- L'autorité de certification ne doit pas contenir de certificats actifs. Nous vous recommandons de révoquer les certificats émis par l'autorité de certification avant de supprimer définitivement l'autorité de certification. Une fois l'autorité de certification supprimée définitivement, les certificats actifs ne peuvent pas être révoqués.
- L'autorité de certification doit présenter l'état
Supprimer une autorité de certification
Pour lancer la suppression de l'autorité de certification, procédez comme suit:
Console
- Accédez à la page Certificate Authority Service de la console Google Cloud.
- Cliquez sur l'onglet Gestionnaire de CA.
- Dans la liste des autorités de certification, sélectionnez celle que vous souhaitez supprimer.
- Cliquez sur Désactiver.
- Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
- Cliquez sur Supprimer.
- Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
gcloud
Vérifiez l'état de l'autorité de certification pour vous assurer qu'il est désactivé. Vous ne pouvez supprimer que les autorités de certification dont l'état est
DISABLED
.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
Remplacez les éléments suivants :
- CA_ID: identifiant unique de l'autorité de certification.
- POOL_ID: nom du pool d'autorités de certification qui contient l'autorité de certification.
Pour plus d'informations sur la commande
gcloud privateca roots describe
, consultez la section gcloud privateca roots describe.Si l'autorité de certification n'est pas désactivée, exécutez la commande suivante pour la désactiver.
gcloud privateca roots disable CA_ID --pool=POOL_ID
Pour plus d'informations sur la commande
gcloud privateca roots disable
, consultez la section gcloud privateca roots disabled.Supprimez l'autorité de certification.
gcloud privateca roots delete CA_ID --pool=POOL_ID
Vous pouvez supprimer l'autorité de certification même si elle dispose de certificats actifs en incluant l'option
--ignore-active-certificates
dans votre commandegcloud
.Pour plus d'informations sur la commande
gcloud privateca roots delete
, consultez la section gcloud privateca roots delete.Lorsque vous y êtes invité, confirmez la suppression de l'autorité de certification.
Une fois la confirmation effectuée, la suppression de l'autorité de certification est planifiée et le délai de grâce de 30 jours commence. La commande affiche la date et l'heure prévues de suppression de l'autorité de certification.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Vérifier la date d'expiration d'une autorité de certification supprimée
Pour savoir quand une autorité de certification sera définitivement supprimée, procédez comme suit:
Console
- Cliquez sur l'onglet Gestionnaire de pool d'autorités de certification.
- Cliquez sur le nom du pool d'autorités de certification qui contenait l'autorité de certification que vous avez supprimée.
Vous pouvez consulter la date d'expiration de l'autorité de certification dans le tableau de la page Pool d'autorités de certification.
gcloud
Pour vérifier l'heure de suppression prévue d'une autorité de certification, exécutez la commande suivante:
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
Remplacez les éléments suivants :
- CA_ID: nom de l'autorité de certification.
- POOL_ID: nom du pool d'autorités de certification qui contenait l'autorité de certification.
La commande renvoie la date et l'heure attendues auxquelles CA Service supprime l'autorité de certification.
2020-08-14T19:28:39
Pour vérifier que l'autorité de certification a été définitivement supprimée, exécutez la commande suivante:
gcloud privateca roots describe CA_ID --pool=POOL_ID
Si l'autorité de certification a bien été supprimée, la commande renvoie l'erreur suivante.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found
Étapes suivantes
- Découvrez comment restaurer des autorités de certification.
- En savoir plus sur les états de l'autorité de certification