Halaman ini diterjemahkan oleh Cloud Translation API.

Mengeluarkan sertifikat menggunakan Google Cloud CLI

Halaman ini menjelaskan cara membuat atau menerbitkan sertifikat melalui Layanan Otoritas Sertifikasi menggunakan Google Cloud CLI.

CA Service memungkinkan Anda men-deploy dan mengelola CA pribadi tanpa mengelola infrastruktur.

Sebelum memulai

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.
Enable the Certificate Authority Service API:
```
gcloud services enable privateca.googleapis.com
```
Make sure that billing is enabled for your Google Cloud project.
Konfigurasikan lokasi default untuk digunakan dalam perintah gcloud dalam panduan memulai ini.
```
gcloud config set privateca/location LOCATION
```
Resource Layanan CA, seperti kumpulan CA dan CA, berada di satu lokasiGoogle Cloud yang tidak dapat Anda ubah setelah membuat resource ini.

Catatan: Jika melewati langkah ini, Anda harus menambahkan flag --location ke beberapa perintah berikut.

Membuat kumpulan CA

Kumpulan certificate authority (CA) adalah kumpulan beberapa CA. Kumpulan CA memberikan kemampuan untuk merotasi rantai kepercayaan tanpa gangguan atau periode nonaktif untuk beban kerja.

Untuk membuat kumpulan CA di tingkat Enterprise, jalankan perintah berikut:

gcloud privateca pools create POOL_ID --location LOCATION --tier "enterprise"

Ganti kode berikut:

POOL_ID: nama kumpulan CA.
LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Nama semua resource Layanan CA hanya boleh berisi karakter yang diizinkan, yaitu semua huruf, angka, tanda hubung, dan garis bawah. Panjang maksimum nama yang diizinkan adalah 63 karakter.

Membuat CA root

Kumpulan CA kosong saat dibuat. Untuk meminta sertifikat dari kumpulan CA, Anda harus menambahkan CA di dalamnya.

Untuk membuat root CA dan menambahkannya di kumpulan CA yang Anda buat, jalankan perintah berikut:

gcloud privateca roots create CA_ID --pool POOL_ID --location LOCATION --subject "CN=Example Prod Root CA, O=Google"

Ganti kode berikut:

CA_ID: nama CA root.
POOL_ID: nama kumpulan CA.
LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Layanan CA menampilkan perintah berikut saat membuat root CA:

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

Aktifkan root CA dengan memasukkan y saat diminta oleh gcloud CLI.

Opsional: Membuat kumpulan CA subordinat

Untuk membuat kumpulan CA subordinat, jalankan perintah berikut:

    gcloud privateca pools create SUBORDINATE_POOL_ID
        --location LOCATION
        --tier TIER

Ganti kode berikut:

SUBORDINATE_POOL_ID: ID subordinate CA pool.
LOCATION: lokasi kumpulan CA subordinat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
TIER: tingkat CA subordinat, baik devops maupun perusahaan.

Opsional: Buat CA subordinasi yang ditandatangani oleh CA root yang disimpan di Google Cloud

Untuk membuat CA subordinat di kumpulan CA subordinat yang Anda buat di langkah sebelumnya, jalankan perintah berikut:

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
        --location=LOCATION \
        --pool=SUBORDINATE_POOL_ID \
        --issuer-pool=POOL_ID \
        --issuer-location=ISSUER_LOCATION \
        --from-ca=EXISTING_CA_ID \
        --kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \"

Ganti kode berikut:

SUBORDINATE_CA_ID: ID CA subordinasi.
LOCATION: lokasi CA subordinat. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
SUBORDINATE_POOL_ID: ID subordinate CA pool yang Anda buat di bagian sebelumnya.
POOL_ID: ID kumpulan CA induk.
ISSUER_LOCATION: lokasi sertifikat.
EXISTING_CA_ID: ID CA sumber.
PROJECT_ID: ID project.
LOCATION_ID: lokasi key ring.
KEY_RING: nama key ring tempat kunci berada.
KEY: nama kunci.
KEY_VERSION: versi kunci.

Pernyataan berikut ditampilkan saat CA subordinat dibuat.

Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].

Aktifkan CA subordinat dengan memasukkan y saat diminta oleh gcloud CLI.

Membuat sertifikat

Untuk menggunakan CA yang baru dibuat guna membuat sertifikat, lakukan hal berikut:

Instal library kriptografi Pyca menggunakan perintah pip.
```
  pip install --user "cryptography>=2.2.0"
```
Layanan CA menggunakan library kriptografi Pyca untuk membuat dan menyimpan pasangan kunci asimetris baru di komputer lokal Anda. Kunci ini tidak pernah dikirim ke Layanan CA.
Agar Google Cloud SDK dapat menggunakan library kriptografi Pyca, Anda harus mengaktifkan paket situs.
macOS atau LinuxWindows
```
export CLOUDSDK_PYTHON_SITEPACKAGES=1
```
```
set CLOUDSDK_PYTHON_SITEPACKAGES=1
```

Buat sertifikat.

  gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --issuer-location ISSUER_LOCATION \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

Ganti kode berikut:

POOL_ID: ID resource kumpulan CA yang Anda buat.
ISSUER_LOCATION: lokasi certificate authority yang menerbitkan sertifikat digital.

Layanan CA menampilkan respons berikut:

Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

Pembersihan

Bersihkan dengan menghapus kumpulan CA, CA, dan project yang Anda buat untuk panduan memulai ini.

Cabut sertifikat.
Hapus CA.

Anda hanya dapat menghapus CA setelah mencabut semua sertifikat yang dikeluarkannya.
1. Nonaktifkan CA.
```
gcloud privateca roots disable CA_ID --pool=POOL_ID --location=LOCATION
```
  Ganti kode berikut:
  - CA_ID: ID resource CA.
  - POOL_ID: ID resource kumpulan CA.
  - LOCATION: lokasi kumpulan CA. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.
2. Hapus CA.
```
gcloud privateca roots delete CA_ID --pool=POOL_ID --location=LOCATION
```
Status CA berubah menjadi Deleted. Layanan CA akan menghapus CA secara permanen 30 hari setelah Anda memulai penghapusan.
Hapus kumpulan CA.

Anda hanya dapat menghapus kumpulan CA setelah CA di dalamnya dihapus secara permanen.
```
gcloud privateca pools delete POOL_ID --location=LOCATION
```
Menghapus project.

Perhatian: Menghapus project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika menggunakan project yang sudah ada untuk tugas dalam dokumen ini, saat Anda menghapusnya, pekerjaan lain yang telah Anda lakukan dalam project tersebut juga akan terhapus.
Project ID kustom hilang. Saat membuat project ini, Anda mungkin telah membuat project ID kustom yang ingin digunakan di masa mendatang. Untuk mempertahankan URL yang menggunakan project ID, seperti URL appspot.com, hapus resource yang dipilih di dalam project, bukan menghapus seluruh project.

Jika Anda berencana mempelajari beberapa arsitektur, tutorial atau panduan memulai, dengan menggunakan kembali project dapat membantu Anda agar tidak melampaui batas kuota project.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

Langkah berikutnya

Pelajari kumpulan CA lebih lanjut.
Pelajari lebih lanjut cara membuat kumpulan CA.
Pelajari lebih lanjut cara membuat CA.
Pelajari lebih lanjut cara meminta sertifikat.
Pelajari cara mengontrol jenis sertifikat yang dapat dikeluarkan oleh kumpulan CA.