使用 Google Cloud CLI 签发证书

本页面介绍了如何使用 Google Cloud CLI 通过 Certificate Authority Service 生成或签发证书。

借助 CA Service,您可以部署和管理私有 CA,而无需管理基础设施。

准备工作

  • 安装 Google Cloud CLI。 安装完成后,运行以下命令来初始化 Google Cloud CLI: 

    gcloud init

    如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

  • Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  • Enable the Certificate Authority Service API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable privateca.googleapis.com

  • Verify that billing is enabled for your Google Cloud project.

  • 配置一个默认位置,以便在本快速入门中使用 gcloud 命令。

    gcloud config set privateca/location LOCATION

    CA 服务资源(例如 CA 池和 CA)位于单个Google Cloud 位置,创建这些资源后便无法更改。

创建 CA 池

证书授权机构 (CA) 池是包含多个 CA 的集合。CA 池能够轮替信任链,而不会中断或停止工作负载。

如需在 Enterprise 层级中创建 CA 池,请运行以下命令:

gcloud privateca pools create POOL_ID --location LOCATION --tier "enterprise"

替换以下内容:

  • POOL_ID:CA 池的名称。
  • LOCATION:CA 池的位置。如需查看位置的完整列表,请参阅位置

所有 CA 服务资源的名称都只能包含允许的字符,即所有字母、数字、连字符和下划线。名称的允许长度上限为 63 个字符。

创建根 CA

CA 池在创建时为空。如需从 CA 池请求证书,您必须在其中添加 CA。

如需创建根 CA 并将其添加到您创建的 CA 池中,请运行以下命令:

gcloud privateca roots create CA_ID --pool POOL_ID --location LOCATION --subject "CN=Example Prod Root CA, O=Google"

替换以下内容:

  • CA_ID:根 CA 的名称。
  • POOL_ID:CA 池的名称。
  • LOCATION:CA 池的位置。如需查看位置的完整列表,请参阅位置

CA Service 在创建根 CA 时会返回以下命令:

Created Certificate Authority [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/CA_ID]

当 gcloud CLI 提示您输入内容时,输入 y 以启用根 CA。

可选:创建从属 CA 池

如需创建从属 CA 池,请运行以下命令:

    gcloud privateca pools create SUBORDINATE_POOL_ID
        --location LOCATION
        --tier TIER

替换以下内容:

  • SUBORDINATE_POOL_ID:从属 CA 池的 ID。
  • LOCATION:从属 CA 池的位置。 如需查看位置的完整列表,请参阅位置
  • TIER:从属 CA 层级,可以是 devops 或 enterprise。

可选:创建由存储在 Google Cloud中的根 CA 签名的从属 CA

如需在您在上一步中创建的从属 CA 池中创建从属 CA,请运行以下命令:

    gcloud privateca subordinates create SUBORDINATE_CA_ID \
        --location=LOCATION \
        --pool=SUBORDINATE_POOL_ID \
        --issuer-pool=POOL_ID \
        --issuer-location=ISSUER_LOCATION \
        --from-ca=EXISTING_CA_ID \
        --kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \"

替换以下内容:

  • SUBORDINATE_CA_ID:从属 CA 的 ID。
  • LOCATION:从属 CA 的位置。如需查看位置的完整列表,请参阅位置
  • SUBORDINATE_POOL_ID:您在上一部分中创建的从属 CA 池的 ID。
  • POOL_ID:父 CA 池的 ID。
  • ISSUER_LOCATION:证书的位置。
  • EXISTING_CA_ID:源 CA 的 ID。
  • PROJECT_ID:项目的 ID。
  • LOCATION_ID:密钥环的位置。
  • KEY_RING:密钥环的名称,密钥位于该密钥环中。
  • KEY:密钥的名称。
  • KEY_VERSION:密钥的版本。

创建从属 CA 时,系统会返回以下语句。

Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].

当 gcloud CLI 提示时,输入 y 以启用从属 CA。

创建证书

如需使用新创建的 CA 创建证书,请执行以下操作:

  1. 使用 pip 命令安装 Pyca 加密库。

      pip install --user "cryptography>=2.2.0"

    CA 服务使用 Pyca cryptography 库在本地计算机上生成并存储新的非对称密钥对。此密钥绝不会发送到 CA 服务。

  2. 如需允许 Google Cloud SDK 使用 Pyca 加密库,您必须启用网站软件包。

    macOS 或 Linux

    export CLOUDSDK_PYTHON_SITEPACKAGES=1

    Windows

    set CLOUDSDK_PYTHON_SITEPACKAGES=1

  3. 创建证书。

      gcloud privateca certificates create \
      --issuer-pool POOL_ID \
      --issuer-location ISSUER_LOCATION \
      --subject "CN=Example Prod,O=Google" \
      --generate-key \
      --key-output-file=./key \
      --cert-output-file=./cert.pem

    替换以下内容:

    • POOL_ID:您创建的 CA 池的资源 ID。
    • ISSUER_LOCATION:签发数字证书的证书授权机构的位置。

    CA Service 返回以下响应:

    Created Certificate [projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates/CERTIFICATE_ID]

清理

删除您为本快速入门创建的 CA 池、CA 和项目,以进行清理。

  1. 撤消证书。

      如需撤消证书,请运行以下命令: 

       gcloud privateca certificates revoke --certificate CERT_NAME
 --issuer-pool POOL_ID --location 
LOCATION

      请替换以下内容:

      • CERT_NAME:要撤消的证书的名称。
      • POOL_ID:签发证书的 CA 池的名称。
      • LOCATION:CA 池的位置。

  2. 删除 CA。

    您只能在撤消 CA 颁发的所有证书后,才能删除该 CA。

    1. 停用 CA。

      gcloud privateca roots disable CA_ID --pool=POOL_ID --location=LOCATION

      替换以下内容:

      • CA_ID:CA 的资源 ID。
      • POOL_ID:CA 池的资源 ID。
      • LOCATION:CA 池的位置。如需查看位置的完整列表,请参阅位置

    2. 删除 CA。

      gcloud privateca roots delete CA_ID --pool=POOL_ID --location=LOCATION

    CA 状态更改为 Deleted。CA 服务会在您发起删除操作 30 天后永久删除 CA。

  3. 删除 CA 池。

    只有在 CA 池中的 CA 被永久删除后,您才能删除该 CA 池。

    gcloud privateca pools delete POOL_ID --location=LOCATION

  4. 删除项目。

    Delete a Google Cloud project:

    gcloud projects delete PROJECT_ID

后续步骤