Ativar, desativar e restaurar autoridades certificadoras
Este tópico explica como gerenciar o estado da sua autoridade de certificação (CA).
Ativar uma AC
Todas as ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION
e definidas como STAGED
após a ativação. Todas as ACs raiz são criadas no estado STAGED
por padrão. Mude o estado da AC para ENABLED
para incluí-lo na rotação de emissão de certificados de um pool de AC. Para mais informações sobre os estados operacionais de uma AC, consulte Estados da autoridade certificadora.
Para ativar uma AC que está no estado STAGED
ou DISABLED
, use as seguintes instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Em Autoridades de certificação, selecione sua CA de destino.
Clique em Ativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para ativar uma AC raiz, use o seguinte comando:
gcloud privateca roots enable CA_ID --pool POOL_ID
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
Para mais informações sobre o comando gcloud privateca roots enable
, consulte gcloud privateca roots enable.
Go
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Desativar uma AC
Desativar uma AC impede que ela emita certificados. Todas as solicitações de certificado para uma AC desativada são rejeitadas. Outras funcionalidades, como revogação de certificados, publicação de listas de revogação de certificados (CRLs) e atualização dos metadados da AC, ainda podem ocorrer.
Para desativar uma AC, siga estas instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Em Autoridades de certificação, selecione sua CA de destino.
Clique em Desativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para desativar uma AC raiz, use o seguinte comando.
gcloud privateca roots disable CA_ID --pool POOL_ID
Substitua:
- CA_ID é o identificador exclusivo da AC raiz que você quer desativar.
- POOL_ID é o identificador exclusivo do pool de ACs ao qual a AC raiz pertence.
Para mais informações sobre o comando gcloud privateca roots disable
, consulte gcloud privateca roots disable.
Go
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Restaurar uma AC
Quando uma CA é programada para exclusão, há um período de carência de 30 dias.
período antes de serem excluídos. Durante o período de carência, um gerente de operações de serviço de CA (roles/privateca.caManager
) ou um administrador de serviço de CA (roles/privateca.admin
) pode interromper o processo de exclusão. Só é possível restaurar uma AC durante o período de carência.
Para restaurar uma AC que está programada para ser excluída para o estado desativado, use as seguintes instruções:
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Na guia Autoridades de certificação, selecione a AC que você quer restaurar.
Clique em Restaurar.
Na caixa de diálogo exibida, clique em Confirmar.
Verifique se a CA agora está no estado
DISABLED
.
gcloud
Confirme se a AC está no estado
DELETED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
- A flag
--format
é usada para definir o formato para imprimir recursos de saída de comando.
O comando retorna
DELETED
.Restaure a AC.
gcloud privateca roots undelete CA_ID --pool POOL_ID
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs ao qual a AC pertence.
Para mais informações sobre o comando
gcloud privateca roots undelete
, consulte gcloud privateca roots undelete.Confirme se o estado da CA agora é
DISABLED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --format="value(state)"
Em que:
- CA_ID é o identificador exclusivo da AC.
- POOL_ID é o identificador exclusivo do pool de ACs a que a AC pertence.
- A flag
--format
é usada para definir o formato para imprimir recursos de saída de comando.
O comando retorna
DISABLED
.
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
A seguir
- Saiba mais sobre os estados da CA.
- Saiba como excluir ACs.