認証局を有効化、無効化、復元する
このトピックでは、認証局(CA)の状態を管理する方法について説明します。
CA を有効にする
すべての下位 CA は AWAITING_USER_ACTIVATION
状態で作成され、有効化後に STAGED
状態に設定されます。すべてのルート CA は、デフォルトで STAGED
状態で作成されます。CA を CA プールの証明書発行ローテーションに含めるには、CA の状態を ENABLED
に変更する必要があります。CA の運用状態の詳細については、認証局の状態をご覧ください。
STAGED
または DISABLED
状態の CA を有効にするには、次の手順に沿って操作します。
Console
Google Cloud コンソールで、[証明書機関] ページに移動します。
[認証局] で、ターゲット CA を選択します。
[有効にする] をクリックします。
表示されたダイアログで [登録解除] をクリックします。
gcloud
ルート CA を有効にするには、次のコマンドを使用します。
gcloud privateca roots enable CA_ID --pool POOL_ID
ここで
- CA_ID は CA の固有識別子です。
- POOL_ID は、CA が属する CA プールの固有識別子です。
gcloud privateca roots enable
コマンドの詳細については、gcloud privateca roots enable をご覧ください。
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
CA を無効にする
CA を無効にすると、証明書の発行が停止します。無効な CA に対する証明書リクエストはすべて拒否されます。証明書の取り消し、証明書失効リスト(CRL)の公開、CA メタデータの更新など、その他の機能は引き続き使用できます。
CA を無効にするには、次の手順に従います。
Console
Google Cloud コンソールで、[証明書機関] ページに移動します。
[認証局] で、ターゲット CA を選択します。
[無効にする] をクリックします。
表示されたダイアログで [登録解除] をクリックします。
gcloud
ルート CA を無効にするには、次のコマンドを使用します。
gcloud privateca roots disable CA_ID --pool POOL_ID
以下を置き換えます。
- CA_ID は、無効にするルート CA の固有識別子です。
- POOL_ID は、ルート CA が属する CA プールの固有識別子です。
gcloud privateca roots disable
コマンドの詳細については、gcloud privateca roots disable をご覧ください。
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
CA を復元する
CA が削除されるようにスケジュールされている場合、削除される前に 30 日間の猶予期間があります。猶予期間中は、CA Service オペレーション マネージャー(roles/privateca.caManager
)または CA Service 管理者(roles/privateca.admin
)が削除プロセスを停止できます。CA を復元できるのは猶予期間中のみです。
削除されるようスケジュール設定された CA を復元するには、次の手順に従います。
Console
Google Cloud コンソールで、[証明書機関] ページに移動します。
[認証局] で、復元する CA を選択します。
[復元] をクリックします。
表示されたダイアログで [登録解除] をクリックします。
CA が
DISABLED
状態になっていることを確認します。
gcloud
CA が
DELETED
状態であることを確認します。gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
ここで
- CA_ID は CA の固有識別子です。
- POOL_ID は、CA が属する CA プールの固有識別子です。
--format
フラグを使用すると、コマンド出力リソースの印刷をフォーマットできます。
このコマンドは
DELETED
を返します。CA を復元します。
gcloud privateca roots undelete CA_ID --pool POOL_ID
ここで
- CA_ID は CA の固有識別子です。
- POOL_ID は、CA が属する CA プールの固有識別子です。
gcloud privateca roots undelete
コマンドの詳細については、gcloud privateca roots undelete をご覧ください。CA の状態が
DISABLED
になっていることを確認します。gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
ここで
- CA_ID は CA の固有識別子です。
- POOL_ID は、CA が属する CA プールの固有識別子です。
--format
フラグを使用すると、コマンド出力リソースの印刷をフォーマットできます。
このコマンドは
DISABLED
を返します。
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。