Ativar, desativar e restaurar autoridades certificadoras
Este tópico explica como gerenciar o estado da sua autoridade certificadora (CA, na sigla em inglês).
Ativar uma AC
Todas as ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION
e definidas como STAGED
após a ativação. Por padrão, todas as CAs raiz são criadas no estado STAGED
. Altere o estado da AC para ENABLED
a fim de incluí-lo na rotação de emissão de certificados de um pool de ACs. Para saber mais sobre os estados operacionais de uma CA, consulte Estados de autoridade de certificação.
Para ativar uma AC que esteja no estado STAGED
ou DISABLED
, siga estas instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Em Autoridades de certificação, selecione a CA de destino.
Selecione Ativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para ativar uma AC raiz, use o seguinte comando:
gcloud privateca roots enable CA_ID --pool POOL_ID
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
Para mais informações sobre o comando gcloud privateca roots enable
, consulte gcloud privateca roots enable.
Go
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Desativar uma AC
Desativar uma AC impede que ela emita certificados. Todas as solicitações de certificado para uma CA desativada são rejeitadas. Outras funcionalidades, como a revogação de certificados, a publicação de listas de revogação de certificados (CRLs) e a atualização dos metadados da CA, ainda podem ser usadas.
Para desativar uma AC, siga estas instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Em Autoridades de certificação, selecione a CA de destino.
Clique em Desativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para desativar uma CA raiz, use o comando a seguir.
gcloud privateca roots disable CA_ID --pool POOL_ID
Substitua:
- CA_ID é o identificador exclusivo da CA raiz que você quer desativar.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC raiz pertence.
Para mais informações sobre o comando gcloud privateca roots disable
, consulte gcloud privateca roots turn.
Go
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Restaurar uma AC
Quando uma CA é programada para exclusão, há um período de carência de 30 dias antes de ela ser excluída. Durante o período de carência, um gerente de operações de serviço de CA (roles/privateca.caManager
) ou um administrador de serviço de CA (roles/privateca.admin
) pode interromper o processo de exclusão. Só é possível restaurar uma AC durante o período de carência.
Para restaurar uma AC que está programada para ser excluída para o estado desativado, use as seguintes instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Na guia Autoridades de certificação, selecione a CA que você quer restaurar.
Clique em Restaurar.
Na caixa de diálogo exibida, clique em Confirmar.
Verifique se a AC está no estado
DISABLED
.
gcloud
Confirme se a AC está no estado
DELETED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
- A sinalização
--format
é usada para definir o formato dos recursos resposta ao comando de impressão.
O comando retorna
DELETED
.Restaure a AC.
gcloud privateca roots undelete CA_ID --pool POOL_ID
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
Para mais informações sobre o comando
gcloud privateca roots undelete
, consulte gcloud privateca roots undelete.Confirme se o estado da AC agora é
DISABLED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
- A sinalização
--format
é usada para definir o formato dos recursos resposta ao comando de impressão.
O comando retorna
DISABLED
.
Go
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
A seguir
- Saiba mais sobre os estados de CA.
- Saiba como excluir ACs.