Activer, désactiver et restaurer les autorités de certification
Cet article explique comment gérer l'état de votre autorité de certification.
Activer une autorité de certification
Toutes les autorités de certification subordonnées sont créées à l'état AWAITING_USER_ACTIVATION
et définies sur l'état STAGED
après leur activation. Par défaut, toutes les autorités de certification racine sont créées à l'état STAGED
. Vous devez définir l'état de l'autorité de certification sur ENABLED
pour l'inclure dans la rotation pour l'émission de certificats d'un pool d'autorités de certification. Pour en savoir plus sur les états de fonctionnement d'une autorité de certification, consultez la section États des autorités de certification.
Pour activer une autorité de certification ayant l'état STAGED
ou DISABLED
, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Sous Autorités de certification, sélectionnez votre autorité de certification cible.
Cliquez sur Activer.
Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
gcloud
Pour activer une autorité de certification racine, utilisez la commande suivante:
gcloud privateca roots enable CA_ID --pool POOL_ID
Où :
- CA_ID est l'identifiant unique de l'autorité de certification.
- POOL_ID est l'identifiant unique du pool d'autorités de certification auquel appartient l'autorité de certification.
Pour plus d'informations sur la commande gcloud privateca roots enable
, consultez la section gcloud privateca roots enable.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Désactiver une autorité de certification
La désactivation d'une autorité de certification l'empêche d'émettre des certificats. Toutes les demandes de certificat adressées à une autorité de certification désactivée sont rejetées. D'autres fonctionnalités, telles que la révocation des certificats, la publication des listes de révocation de certificats (LRC) et la mise à jour des métadonnées de l'autorité de certification, peuvent toujours avoir lieu.
Pour désactiver une autorité de certification, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Sous Autorités de certification, sélectionnez votre autorité de certification cible.
Cliquez sur Désactiver.
Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
gcloud
Pour désactiver une autorité de certification racine, utilisez la commande suivante.
gcloud privateca roots disable CA_ID --pool POOL_ID
Remplacez les éléments suivants :
- CA_ID est l'identifiant unique de l'autorité de certification racine que vous souhaitez désactiver.
- POOL_ID est l'identifiant unique du pool d'autorités de certification auquel appartient l'autorité de certification racine.
Pour plus d'informations sur la commande gcloud privateca roots disable
, consultez la section gcloud privateca roots disabled.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Restaurer une autorité de certification
Lorsque la suppression d'une autorité de certification est planifiée, un délai de grâce de 30 jours est appliqué avant qu'elle ne soit supprimée. Pendant le délai de grâce, un gestionnaire d'opérations du service CA (roles/privateca.caManager
) ou un administrateur du service CA (roles/privateca.admin
) peut arrêter le processus de suppression. Vous ne pouvez restaurer une autorité de certification que pendant le délai de grâce.
Pour restaurer une autorité de certification dont la suppression est programmée à l'état "Désactivée", procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Certificate Authority Service.
Dans l'onglet Autorités de certification, sélectionnez l'autorité de certification que vous souhaitez restaurer.
Cliquez sur Restaurer.
Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
Vérifiez que l'autorité de certification est maintenant à l'état
DISABLED
.
gcloud
Vérifiez que l'autorité de certification est à l'état
DELETED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Où :
- CA_ID est l'identifiant unique de l'autorité de certification.
- POOL_ID est l'identifiant unique du pool d'autorités de certification auquel appartient l'autorité de certification.
- L'option
--format
permet de définir le format d'impression des ressources de résultat de la commande.
La commande renvoie
DELETED
.Restaurez l'autorité de certification.
gcloud privateca roots undelete CA_ID --pool POOL_ID
Où :
- CA_ID est l'identifiant unique de l'autorité de certification.
- POOL_ID est l'identifiant unique du pool d'autorités de certification auquel appartient l'autorité de certification.
Pour plus d'informations sur la commande
gcloud privateca roots undelete
, consultez la section gcloud privateca roots undelete.Vérifiez que l'état de l'autorité de certification est désormais
DISABLED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Où :
- CA_ID est l'identifiant unique de l'autorité de certification.
- POOL_ID est l'identifiant unique du pool d'autorités de certification auquel appartient l'autorité de certification.
- L'option
--format
permet de définir le format d'impression des ressources de résultat de la commande.
La commande renvoie
DISABLED
.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Étapes suivantes
- En savoir plus sur les états de l'autorité de certification
- Découvrez comment supprimer des autorités de certification.