Revocar certificados
En esta página, se explica cómo revocar certificados.
Certificate Authority Service admite la revocación de certificados con la publicación periódica de listas de revocación de certificados (CRL). Solo puedes revocar certificados emitidos por grupos de AC en el nivel empresarial.
Antes de comenzar
Asegúrate de tener el rol de administrador de operaciones de Certificate Authority Service (roles/privateca.caManager
) o de administrador de CA Service (roles/privateca.admin
) de Identity and Access Management (IAM). Si deseas obtener más información sobre las funciones predefinidas de IAM para el servicio de CA, consulta Control de acceso con IAM.
Para obtener información sobre cómo otorgar un rol de IAM, consulta Otorga un solo rol.
Habilitar la publicación de la CRL
Para revocar los certificados emitidos por un grupo de AC, debes habilitar la publicación de la CRL en ese grupo. Puedes habilitar la publicación de la CRL mientras creas un grupo de AC. Si se inhabilita inicialmente, puedes habilitar la publicación de la CRL más adelante.
Después de habilitar la publicación de la CRL, se publica una nueva todos los días y es válida durante 7 días. También se publica una CRL nueva dentro de los 15 minutos posteriores a cualquier revocación de certificado.
Para habilitar la publicación de la CRL en un grupo de AC, haz lo siguiente:
Console
Ve a la página Certificate Authority Service en la consola de Google Cloud.
Haz clic en el nombre de una AC del grupo de AC que quieres modificar.
En la página Autoridad certificadora, haz clic en Editar política.
En el panel izquierdo que aparece, haz clic en el botón de activación Publicar la URL de acceso de la lista de revocación de certificados en los certificados emitidos en Opciones de publicación.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID \
--publish-crl
Reemplaza POOL_ID por el nombre del grupo de AC.
Para obtener más información sobre el comando gcloud privateca pools update
, consulta gcloud privateca pool update.
El Servicio de CA aplica un límite de 500,000 certificados revocados no vencidos por CRL.
Revocar un certificado
El servicio de CA permite revocar certificados por número de serie o nombre de recurso, y también acepta un motivo opcional. Después de que se revoca un certificado, su número de serie y el motivo de revocación aparecerán en todas las CRL futuras hasta que el certificado llegue a su fecha de vencimiento. También se genera una CRL fuera de banda dentro de los 15 minutos posteriores a la revocación.
Para revocar un certificado, sigue estos pasos:
Console
- Ve a la página Certificate Authority Service en la consola de Google Cloud.
- Haz clic en la pestaña Administrador de certificados privados.
- En la lista de certificados, haz clic en Ver más en la fila del certificado que deseas borrar.
- Haz clic en Revocar.
- En el cuadro de diálogo que se abre, haz clic en Confirmar.
gcloud
Para revocar un certificado con su nombre de recurso, ejecuta el siguiente comando:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Reemplaza lo siguiente:
- CERT_ID: El identificador único del certificado que deseas revocar.
- POOL_ID: Es el nombre del grupo de AC que emitió el certificado.
- REVOCATION_REASON: Es el motivo por el que se revoca el certificado.
La marca
--reason
es opcional. Para obtener más información sobre esta marca, consulta --reason o usa el siguiente comandogcloud
con la marca--help
:gcloud privateca certificates revoke --help
Para obtener más información sobre el comando
gcloud privateca certificates revoke
, consulta revocación de certificados privados de gcloud.Para revocar un certificado con su número de serie, ejecuta el siguiente comando:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Reemplaza lo siguiente:
- SERIAL_NUMBER: Es el número de serie del certificado.
- POOL_ID: Es el nombre del grupo de AC que emitió el certificado.
- REVOCATION_REASON: Es el motivo por el que se revoca el certificado.
Para obtener más información sobre el comando
gcloud privateca certificates revoke
, consulta revocación de certificados privados de gcloud.Cuando se te solicite confirmar, puedes hacerlo ingresando “Y”:
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Para autenticarte en CA Service, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
¿Qué sigue?
- Obtén más información para ordenar y filtrar certificados.
- Aprende a implementar una respuesta de OCSP delegada.