Zertifikate widerrufen
Auf dieser Seite wird erläutert, wie Sie Zertifikate widerrufen.
Certificate Authority Service unterstützt den Zertifikatswiderruf durch regelmäßige Veröffentlichung Zertifikatssperrlisten (Certificate Revocation Lists, CRLs). Sie können nur Zertifikate widerrufen, die von CA-Pools in der Enterprise-Stufe.
Hinweise
Sie benötigen den Certificate Authority Service Operation Manager
(roles/privateca.caManager
) oder den CA Service-Administrator
(roles/privateca.admin
) IAM-Rolle (Identity and Access Management). Weitere Informationen
Informationen zu den vordefinierten IAM-Rollen für
Weitere Informationen zu CA Service finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelnen Nutzer zuweisen Rolle.
CRL-Veröffentlichung aktivieren
Wenn Sie die von einem CA-Pool ausgestellten Zertifikate widerrufen möchten, müssen Sie die CRL-Veröffentlichung aktivieren für den Zertifizierungsstellenpool. Sie können die CRL-Veröffentlichung beim Erstellen eines Zertifizierungsstellenpools aktivieren. Wenn deaktiviert ist, können Sie die CRL-Veröffentlichung später aktivieren.
Nachdem Sie die Veröffentlichung der Zertifikatssperrliste aktiviert haben, wird täglich eine neue 7 Tage lang gültig. Eine neue Zertifikatssperrliste wird ebenfalls innerhalb von 15 Minuten Widerrufs neuer Zertifikate.
So aktivieren Sie die CRL-Veröffentlichung in einem Zertifizierungsstellenpool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab CA-Poolmanager.
Klicken Sie auf den Zertifizierungsstellenpool, den Sie bearbeiten möchten, oder klicken Sie auf den Zertifizierungsstellenpool mit der Zertifizierungsstelle die Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf
Bearbeiten.Klicken Sie auf Weiter, bis Sie zum Abschnitt Veröffentlichungsoptionen konfigurieren gelangen.
Klicken Sie auf die Ein/Aus-Schaltfläche CRL in GCS-Bucket für Zertifizierungsstellen in diesem Pool veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID \
--publish-crl
Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.
Weitere Informationen zum Befehl gcloud privateca pools update
finden Sie unter gcloud privateca cards update.
CA Service erzwingt ein Limit von 500.000 unabgelaufenen,aufgehoben Zertifikate pro Zertifikatssperrliste.
Zertifikate widerrufen
CA Service ermöglicht das Widerrufen von Zertifikaten nach Seriennummer oder Ressource Name und akzeptiert auch einen optionalen Grund. Nach dem Widerrufen eines Zertifikats kann die Seriennummer Nummer und Widerrufsgrund erscheinen in allen zukünftigen Zertifikatssperrlisten, bis die Zertifikat abläuft. Eine Out-of-Band-CRL wird ebenfalls in 15 Minuten nach dem Widerruf.
So widerrufen Sie ein Zertifikat:
Console
- Rufen Sie die Seite Certificate Authority Service (Zertifizierungsstelle) im Google Cloud Console
- Klicken Sie auf den Tab Private Certificate Manager.
- Klicken Sie in der Liste der Zertifikate auf Weitere das Zertifikat, das Sie löschen möchten.
- Klicken Sie auf Aufheben.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.
gcloud
Führen Sie den folgenden Befehl aus, um ein Zertifikat mithilfe seines Ressourcennamens zu widerrufen:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Ersetzen Sie Folgendes:
- CERT_ID: Die eindeutige Kennung des Zertifikats, das Sie widerrufen möchten.
- POOL_ID: Der Name des CA-Pools, der das Zertifikat ausgestellt hat.
- REVOCATION_REASON: Der Grund für den Widerruf des Zertifikats.
Das Flag
--reason
ist optional. Weitere Informationen zu diesem Flag finden Sie unter --reason. Verwenden Sie alternativ den folgendengcloud
-Befehl mit dem Flag--help
:gcloud privateca certificates revoke --help
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca großer zertifikate widerrufen.Führen Sie den folgenden Befehl aus, um ein Zertifikat mithilfe seiner Seriennummer zu widerrufen:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Ersetzen Sie Folgendes:
- SERIAL_NUMBER: Die Seriennummer des Zertifikats.
- POOL_ID: Der Name des CA-Pools, der das Zertifikat ausgestellt hat.
- REVOCATION_REASON: Der Grund für den Widerruf des Zertifikats.
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca großer zertifikate widerrufen.Wenn Sie zur Bestätigung aufgefordert werden, geben Sie „Y“ ein:
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Richten Sie Standardanmeldedaten für Anwendungen ein, um sich bei CA Service zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Nächste Schritte
- Informationen zum Sortieren und Filtern von Zertifikaten
- So implementieren Sie einen delegierten OCSP-Antwortdienst.