인증서 취소
이 페이지에서는 인증서를 취소하는 방법을 설명합니다.
Certificate Authority Service는 해지 인증서 목록(CRL)을 주기적으로 게시하여 인증서 해지를 지원합니다. Enterprise 등급의 CA 풀에서 발급한 인증서만 취소할 수 있습니다.
시작하기 전에
Certificate Authority Service 운영 관리자(roles/privateca.caManager
) 또는 CA Service 관리자(roles/privateca.admin
) Identity and Access Management(IAM) 역할이 있는지 확인합니다. CA Service의 사전 정의된 IAM 역할에 대한 자세한 내용은 IAM으로 액세스 제어를 참조하세요.
IAM 역할 부여에 대한 자세한 내용은 단일 역할 부여를 참조하세요.
CRL 게시 사용 설정
CA 풀에서 발급한 인증서를 취소하려면 CA 풀에서 CRL 게시를 사용 설정해야 합니다. CA 풀을 만드는 동안 CRL 게시를 사용 설정할 수 있습니다. 처음에 사용 중지된 경우 나중에 CRL 게시를 사용 설정할 수 있습니다.
CRL 게시를 사용 설정하면 새 CRL이 매일 게시되며 7일 동안 유효합니다. 또한 새 인증서 취소 후 15분 이내에 새 CRL이 게시됩니다.
CA 풀에서 CRL 게시를 사용 설정하려면 다음을 수행합니다.
콘솔
Google Cloud 콘솔에서 Certificate Authority Service 페이지로 이동합니다.
CA 풀 관리자 탭을 클릭합니다.
수정하려는 CA 풀을 클릭하거나 수정하려는 CA가 있는 CA 풀을 클릭합니다.
CA 풀 페이지에서
수정을 클릭합니다.게시 옵션 구성 섹션이 표시될 때까지 다음을 클릭합니다.
이 풀의 CA용 GCS 버킷에 CRL 게시 전환 버튼을 클릭합니다.
gcloud
다음 명령어를 실행합니다.
gcloud privateca pools update POOL_ID \
--publish-crl
POOL_ID를 CA 풀의 이름으로 바꿉니다.
gcloud privateca pools update
명령어에 대한 자세한 내용은 gcloud privateca pools update를 참조하세요.
CA Service는 CRL당 만료되지 않은 취소 인증서에 500,000개의 한도를 적용합니다.
인증서 취소
CA Service는 일련번호 또는 리소스 이름으로 인증서를 해지할 수 있고 이유를 입력할 수도 있습니다. 인증서가 취소되면 인증서가 만료일에 도달할 때까지 해당 일련번호와 취소 이유가 이후의 모든 CRL에 표시됩니다. 또한 취소 후 15분 이내에 대역 외 CRL이 생성됩니다.
인증서를 취소하려면 다음 단계를 따르세요.
콘솔
- Google Cloud 콘솔에서 Certificate Authority Service 페이지로 이동합니다.
- 비공개 인증서 관리자 탭을 클릭합니다.
- 인증서 목록에서 삭제할 인증서 행의 더보기를 클릭합니다.
- 취소를 클릭합니다.
- 대화상자가 열리면 확인을 클릭합니다.
gcloud
리소스 이름을 사용하여 인증서를 취소하려면 다음 명령어를 실행합니다.
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
다음을 바꿉니다.
- CERT_ID: 취소할 인증서의 고유 식별자입니다.
- POOL_ID: 인증서를 발급한 CA 풀의 이름입니다.
- REVOCATION_REASON: 인증서를 취소한 이유입니다.
--reason
플래그는 선택사항입니다. 이 플래그에 대한 자세한 내용은 --reason을 참조하거나 다음gcloud
명령어를--help
플래그와 함께 사용하세요.gcloud privateca certificates revoke --help
gcloud privateca certificates revoke
명령어에 대한 자세한 내용은 gcloud privateca certificates revoke를 참조하세요.일련번호를 사용하여 인증서를 취소하려면 다음 명령어를 실행합니다.
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
다음을 바꿉니다.
- SERIAL_NUMBER: 클라이언트 인증서의 일련번호입니다.
- POOL_ID: 인증서를 발급한 CA 풀의 이름입니다.
- REVOCATION_REASON: 인증서를 취소한 이유입니다.
gcloud privateca certificates revoke
명령어에 대한 자세한 내용은 gcloud privateca certificates revoke를 참조하세요.확인 메시지가 표시되면 'Y'를 입력하여 확인할 수 있습니다.
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
자바
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
Python
CA Service에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요.
다음 단계
- 인증서 정렬 및 필터링 방법 알아보기
- 위임된 OCSP 응답기 구현 방법 알아보기