Eliminare le autorità di certificazione
Certificate Authority Service consente di eliminare un'autorità di certificazione (CA) esistente. La CA viene eliminata definitivamente dopo un periodo di tolleranza di 30 giorni dall'inizio del processo di eliminazione. Dopo il periodo di tolleranza, il servizio CA elimina definitivamente la CA e tutti gli artefatti nidificati, come i certificati e gli elenchi di revoche dei certificati (CRL).
Le risorse Google Cloud gestite dal cliente che erano in uso dalla CA eliminata, ad esempio i bucket Cloud Storage o le chiavi Cloud Key Management Service, non vengono eliminate. Per saperne di più sulle risorse gestite da Google e dal cliente, vedi Gestire le risorse.
Una CA eliminata non viene fatturata durante il periodo di tolleranza. Tuttavia, se
ripristinare la CA,
ti vengono addebitati i costi al livello di fatturazione della CA per il periodo di tempo in cui la CA è presente
lo stato DELETED
.
Prima di iniziare
Assicurati di avere il CA Service Operation Manager (
roles/privateca.caManager
) o l'amministratore del servizio CA (roles/privateca.admin
) Ruolo Identity and Access Management (IAM). Per ulteriori informazioni sui ruoli IAM predefiniti per il servizio CA, consulta Controllo dell'accesso con IAM.Per informazioni sulla concessione di un ruolo IAM, consulta Concedere un singolo ruolo.
Assicurati che la CA soddisfi le seguenti condizioni:
- La CA deve essere nello stato
AWAITING_USER_ACTIVATION
,DISABLED
oSTAGED
. Per ulteriori informazioni, vedi Stati dell'autorità di certificazione.
- La CA non deve contenere certificati attivi. Ti consigliamo di revocare i certificati rilasciati dalla CA prima di eliminarla definitivamente. I certificati attivi non possono essere revocati dopo l'eliminazione definitiva della CA.
- La CA deve essere nello stato
Elimina una CA
Per avviare l'eliminazione della CA:
Console
- Vai alla pagina Certificate Authority Service nella console Google Cloud.
- Fai clic sulla scheda Gestore CA.
- Nell'elenco delle CA, seleziona la CA che vuoi eliminare.
- Fai clic su Disattiva.
- Nella finestra di dialogo che si apre, fai clic su Conferma.
- Fai clic su Elimina.
- Nella finestra di dialogo che si apre, fai clic su Conferma.
gcloud
Controlla lo stato della CA per assicurarti che sia disattivata. Puoi eliminare solo le CA nello stato
DISABLED
.gcloud privateca roots describe CA_ID --pool=POOL_ID \ --format="value(state)"
Sostituisci quanto segue:
- CA_ID: l'identificatore univoco della CA.
- POOL_ID: il nome del pool di CA che contiene la CA.
Per ulteriori informazioni sul comando
gcloud privateca roots describe
, consulta gcloud privateca roots describe.Se la CA non è disabilitata, esegui questo comando per disabilitarla la CA.
gcloud privateca roots disable CA_ID --pool=POOL_ID
Per ulteriori informazioni sul comando
gcloud privateca roots disable
, consulta gcloud privateca roots disable.Elimina la CA.
gcloud privateca roots delete CA_ID --pool=POOL_ID
Puoi eliminare la CA anche se la CA ha certificati attivi: inclusa la bandiera
--ignore-active-certificates
ingcloud
.Per ulteriori informazioni sul comando
gcloud privateca roots delete
, consulta gcloud privateca roots delete.Quando ti viene richiesto, conferma l'eliminazione della CA.
Dopo la conferma, viene pianificata l'eliminazione della CA e inizierà il periodo di tolleranza di 30 giorni. Il comando restituisce la data e l'ora previste in cui la CA verrà eliminata.
Deleted Root CA [projects/PROJECT_ID/locations/us-west1/caPools/POOL_ID/certificateAuthorities/CA_ID] can be undeleted until 2020-08-14T19:28:39Z.
Vai
Per autenticarti al servizio CA, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Java
Per eseguire l'autenticazione con CA Service, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Python
Per eseguire l'autenticazione con CA Service, configura le credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Controllare la data di scadenza di una CA eliminata
Per sapere quando una CA verrà eliminata definitivamente:
Console
- Fai clic sulla scheda Gestore del pool di CA.
- Fai clic sul nome del pool di CA contenente la CA che hai eliminato.
Puoi vedere la data di scadenza della CA nella tabella della pagina Pool di CA.
gcloud
Per verificare il tempo di eliminazione previsto per una CA, esegui questo comando:
gcloud privateca roots describe CA_ID \
--pool=POOL_ID \
--format="value(expireTime.date())"
Sostituisci quanto segue:
- CA_ID: il nome della CA.
- POOL_ID: il nome del pool di CA che conteneva la CA.
Il comando restituisce la data e l'ora previste quando il servizio CA la CA.
2020-08-14T19:28:39
Per verificare che la CA sia stata eliminata definitivamente, esegui il seguente comando:
gcloud privateca roots describe CA_ID --pool=POOL_ID
Se la CA viene eliminata correttamente, il comando restituisce il seguente errore.
ERROR: (gcloud.privateca.roots.describe) NOT_FOUND: Resource 'projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID' was not found
Passaggi successivi
- Scopri come ripristinare le CA.
- Scopri di più sugli stati della California.