Ativar, desativar e restaurar autoridades certificadoras
Este documento explica como gerenciar o estado da sua autoridade certificadora (AC).
Ativar uma AC
Todas as ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION
e
são definidas como STAGED
após a ativação. Todas as ACs raiz são criadas no
estado STAGED
por padrão. É necessário mudar o estado da AC para ENABLED
para
incluí-la na rotação de emissão de certificados de um pool de ACs. Para mais informações
sobre os estados operacionais de uma AC, consulte Estados de
autoridade certificadora.
Para ativar uma AC que esteja no estado STAGED
ou DISABLED
, siga estas
instruções:
Console
No console do Google Cloud, acesse a página Autoridades certificadoras.
Em Autoridades de certificação, selecione a AC de destino.
Clique em Ativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para ativar uma AC raiz, use o seguinte comando:
gcloud privateca roots enable CA_ID --location LOCATION --pool POOL_ID
Substitua:
- CA_ID: o identificador exclusivo da AC.
- LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
- POOL_ID: o identificador exclusivo do pool de ACs ao qual a AC pertence.
Para mais informações sobre o comando gcloud privateca roots enable
, consulte
ativação de raízes de
privacidade do gcloud.
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Desativar uma AC
A desativação de uma AC impede que ela emita certificados. Todas as solicitações de certificado para uma AC desativada são rejeitadas. Outras funcionalidades, como revogar certificados, publicar listas de revogação de certificados (CRLs) e atualizar os metadados da AC, ainda podem ocorrer.
Para desativar uma AC, siga estas instruções:
Console
No console do Google Cloud, acesse a página Autoridades certificadoras.
Em Autoridades de certificação, selecione a AC de destino.
Clique em Desativar.
Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para desativar uma AC raiz, use o seguinte comando.
gcloud privateca roots disable CA_ID --location LOCATION --pool POOL_ID
Substitua:
- CA_ID: o identificador exclusivo da AC raiz que você quer desativar.
- LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
- POOL_ID: o identificador exclusivo do pool de ACs ao qual a AC raiz pertence.
Para mais informações sobre o comando gcloud privateca roots disable
, consulte
gcloud privateca roots
disable.
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Restaurar uma AC
Quando uma AC é programada para exclusão, há um período de carência de 30 dias antes da
exclusão. Durante o período de carência, um gerente de operações de serviço de CA
(roles/privateca.caManager
) ou um administrador de serviço de CA (roles/privateca.admin
) podem interromper o processo de exclusão. Só é possível restaurar uma
CA durante o período de carência.
Para restaurar uma AC que está programada para ser excluída para o estado desativado, siga estas instruções:
Console
No console do Google Cloud, acesse a página Autoridades certificadoras.
Em Autoridades de certificação, selecione a AC que você quer restaurar.
Clique em Restaurar.
Na caixa de diálogo exibida, clique em Confirmar.
Verifique se a AC está no estado
DISABLED
.
gcloud
Confirme se a AC está no estado
DELETED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --location LOCATION \ --format="value(state)"
Em que:
- CA_ID: o identificador exclusivo da AC.
- POOL_ID: o identificador exclusivo do pool de ACs ao qual a AC pertence.
- LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
- A flag
--format
é usada para definir o formato para imprimir recursos de saída de comando.
O comando retorna
DELETED
.Restaure a AC.
gcloud privateca roots undelete CA_ID --location LOCATION --pool POOL_ID
Substitua:
- CA_ID: o identificador exclusivo da AC.
- LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
- POOL_ID: o identificador exclusivo do pool de ACs ao qual a AC pertence.
Para mais informações sobre o comando
gcloud privateca roots undelete
, consulte gcloud privateca roots undelete.Confirme se o estado da CA agora é
DISABLED
.gcloud privateca roots describe CA_ID \ --pool POOL_ID \ --location LOCATION \ --format="value(state)"
Em que:
- CA_ID: o identificador exclusivo da AC.
- POOL_ID: o identificador exclusivo do pool de ACs ao qual a AC pertence.
- LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
- A flag
--format
é usada para definir o formato para imprimir recursos de saída de comando.
O comando retorna
DISABLED
.
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
A seguir
- Saiba mais sobre os estados da CA.
- Saiba como excluir ACs.