Google Cloud CLI を使用して証明書を発行する

このページでは、認証局（CA）プールを作成し、Google Cloud CLI を使用して証明書を発行する方法について説明します。

CA Service を使用すると、インフラストラクチャを管理することなくプライベート CA をデプロイして管理できます。

準備

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Enable the Certificate Authority Service API:
```
gcloud services enable privateca.googleapis.com
```
Make sure that billing is enabled for your Google Cloud project.
このクイックスタートの gcloud コマンドで使用するデフォルトのロケーションを構成します。
```
gcloud config set privateca/location LOCATION
```
CA プールや CA などの CA Service のリソースは、単一の Google Cloud のロケーションに存在します。これらのリソースを作成した後は変更できません。

注: この手順をスキップする場合は、次のコマンドの一部に --location フラグを追加する必要があります。

CA プールを作成します

認証局（CA）プールは、複数の CA の集合です。CA プールには、ワークロードの停止やダウンタイムなしに信頼チェーンをローテーションする機能があります。

Enterprise ティアで CA プールを作成するには、次のコマンドを実行します。

gcloud privateca pools create POOL_ID --tier "enterprise"

POOL_ID を、CA プールの名前に置き換えます。

すべての CA Service リソースの名前には、使用可能な文字（すべての文字、数字、ハイフン、アンダースコア）のみを含める必要があります。名前の最大長は 63 文字です。

ルート CA を作成する

CA プールは、作成時に空です。CA プールから証明書をリクエストするには、CA プールに CA を追加する必要があります。

ルート CA を作成して、作成した CA プールに追加するには、次のコマンドを実行します。

gcloud privateca roots create CA_ID --pool POOL_ID --subject "CN=Example Prod Root CA, O=Google"

以下を置き換えます。

CA_ID: ルート CA の名前。
POOL_ID: CA プールの名前。

CA Service は、ルート CA を作成すると、次のコマンドを返します。

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

gcloud CLI のプロンプトが表示されたら y を入力して、ルート CA を有効にします。

ルート CA を持つ CA プールが作成されたので、証明書の作成に進むことができます。

証明書を生成

新しく作成した CA を使用して証明書を作成するには、次の手順を行います。

pip コマンドを使用して Pyca 暗号ライブラリをインストールします。
```
  pip install --user "cryptography>=2.2.0"
```
CA Service は、Pyca 暗号ライブラリを使用して新しい非対称鍵ペアを生成してローカルマシンに保存します。この鍵は CA Service に送信されることはありません。
Google Cloud SDK で Pyca 暗号ライブラリを使用できるようにするには、サイトパッケージを有効にする必要があります。
macOS または Linux
```
export CLOUDSDK_PYTHON_SITEPACKAGES=1
```
Windows
```
set CLOUDSDK_PYTHON_SITEPACKAGES=1
```

証明書を作成します。

  gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

POOL_ID は、作成した CA プールのリソース ID に置き換えます。

CA Service が次のレスポンスを返します。

  Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

クリーンアップ

このクイックスタート用に作成した CA プール、CA、プロジェクトを削除してクリーンアップします。

証明書を取り消します。
CA を削除します。

CA は、CA が発行したすべての証明書を取り消した場合にのみ削除できます。
1. CA を無効にします。
```
gcloud privateca roots disable CA_ID --pool=POOL_ID
```
  以下を置き換えます。
  - CA_ID: CA のリソース ID。
  - POOL_ID: CA プールのリソース ID。
2. CA を削除します。
```
gcloud privateca roots delete CA_ID --pool=POOL_ID
```
CA の状態が Deleted に変わります。CA Service は、削除を開始してから 30 日後に CA を完全に削除します。
CA プールを削除します。

CA プールを削除できるのは、CA プール内の CA が完全に削除された後のみです。
```
gcloud privateca pools delete POOL_ID
```
プロジェクトを削除する。

次のステップ

CA プールの詳細について学習する。
CA プールの作成の詳細について学習する。
CA の作成の詳細について学習する。
証明書のリクエストの詳細について学習する。
CA プールが発行できる証明書の種類を制御する方法を学習する。