証明書を取り消す
このページでは、証明書を取り消す方法について説明します。
Certificate Authority Service は、証明書失効リスト(CRL)を定期的に公開することで証明書の失効をサポートします。取り消すことができるのは、Enterprise ティアの CA プールによって発行された証明書のみです。
準備
Certificate Authority Service オペレーション マネージャー(roles/privateca.caManager
)または CA Service 管理者(roles/privateca.admin
)の Identity and Access Management(IAM)ロールがあることを確認します。CA Service の事前定義された IAM ロールの詳細については、IAM を使用したアクセス制御をご覧ください。
IAM ロールの付与については、単一のロールを付与するをご覧ください。
CRL パブリケーションを有効にする
CA プールによって発行された証明書を取り消すには、CA プールで CRL 公開を有効にする必要があります。CA プールの作成時に CRL 公開を有効にできます。最初に無効にした場合は、後で CRL 公開を有効にできます。
CRL 公開を有効にすると、新しい CRL が毎日公開され、7 日間有効です。新しい CRL は、新しい証明書失効から 15 分以内に公開されます。
CA プールで CRL 公開を有効にするには、次の手順を行います。
コンソール
Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
変更する CA プールの CA の名前をクリックします。
[認証局] ページで、[ポリシーを編集] をクリックします。
表示される左パネルで、[公開オプション] の下にある [発行済み証明書の証明書失効リストのアクセス URL を公開する] をクリックします。
gcloud
次のコマンドを実行します。
gcloud privateca pools update POOL_ID \
--publish-crl
POOL_ID は、CA プールの名前に置き換えます。
gcloud privateca pools update
コマンドの詳細については、gcloud privateca pools update をご覧ください。
CA Service では、CRL ごとに期限切れでない取り消し済み証明書の数が 500,000 個に制限されています。
証明書を取り消す
CA Service では、シリアル番号またはリソース名で証明書を取り消すことができます。また、任意の理由も受け入れます。証明書が取り消された後、シリアル番号と失効の理由は、証明書が有効期限に達するまですべての CRL に表示されます。取り消しから 15 分以内に帯域外 CRL も生成されます。
証明書を取り消すには、次の手順を行います。
コンソール
- Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
- [プライベート証明書マネージャー] タブをクリックします。
- 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
- [取り消し] をクリックします。
- 表示されたダイアログで [登録解除] をクリックします。
gcloud
リソース名を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
次のように置き換えます。
- CERT_ID: 取り消す証明書の一意の識別子。
- POOL_ID: 証明書を発行した CA プールの名前。
- REVOCATION_REASON: 証明書を取り消す理由。
--reason
フラグは省略可能です。このフラグの詳細については、--reason を参照するか、--help
フラグを指定して次のgcloud
コマンドを使用します。gcloud privateca certificates revoke --help
gcloud privateca certificates revoke
コマンドの詳細については、gcloud privateca certificates revoke をご覧ください。シリアル番号を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
次のように置き換えます。
- SERIAL_NUMBER: 証明書のシリアル番号。
- POOL_ID: 証明書を発行した CA プールの名前。
- REVOCATION_REASON: 証明書を取り消す理由。
gcloud privateca certificates revoke
コマンドの詳細については、gcloud privateca certificates revoke をご覧ください。確認を求めるプロンプトが表示されたら、「Y」と入力します。
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
次のステップ
- 証明書の並べ替えとフィルタリング方法を学習する。
- 委任された OCSP レスポンダーを実装する方法を学習する。