Revogar certificados
Nesta página, explicamos como revogar certificados.
O Certificate Authority Service oferece suporte à revogação de certificados com a publicação periódica de listas de revogação de certificados (CRLs). Só é possível revogar certificados emitidos por pools de CAs no nível Enterprise.
Antes de começar
Verifique se você tem o papel de Gerente de operações do Certificate Authority Service
(roles/privateca.caManager
) ou o papel Administrador de serviço de CA
(roles/privateca.admin
) no Identity and Access Management (IAM). Para mais
informações sobre os papéis predefinidos do IAM para
o serviço da CA, consulte Controle de acesso com o IAM.
Para mais informações sobre como conceder um papel do IAM, consulte Como conceder um único papel.
Ativar publicação da CRL
Para revogar os certificados emitidos por um pool de ACs, ative a publicação da CRL no pool de ACs. É possível ativar a publicação da CRL ao criar um pool de CAs. Se inicialmente desativada, será possível ativar a publicação da CRL mais tarde.
Depois que você ativar a publicação da CRL, uma nova CRL será publicada diariamente e será válida por sete dias. Uma nova CRL também é publicada em até 15 minutos após qualquer nova revogação de certificado.
Para ativar a publicação da CRL em um pool de CAs, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Clique no nome de uma AC no pool de AC que você quer modificar.
Na página Autoridade de certificação, clique em Editar política.
No painel à esquerda exibido, clique no botão Publicar o URL de acesso da lista de revogação de certificados em certificados emitidos em Opções de publicação.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID \
--publish-crl
Substitua POOL_ID pelo nome do pool de ACs.
Para mais informações sobre o comando gcloud privateca pools update
, consulte gcloud privateca pools update.
O CA Service aplica um limite de 500.000 certificados revogados não expirados por CRL.
Revogar um certificado
O CA Service permite a revogação de certificados por número de série ou nome do recurso e também aceita um motivo opcional. Depois que um certificado é revogado, o número de série e o motivo da revogação aparecem em todas as CRLs futuras até que o certificado atinja a data de validade. Uma CRL fora de banda também é gerada até 15 minutos após a revogação.
Para revogar um certificado, siga estas etapas:
Console
- Acesse a página Certificate Authority Service no console do Google Cloud.
- Clique na guia Gerenciador de certificados particulares.
- Na lista de certificados, clique em Ver mais na linha do que você quer excluir.
- Clique em Revogar.
- Na caixa de diálogo exibida, clique em Confirmar.
gcloud
Para revogar um certificado usando o nome do recurso, execute o seguinte comando:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Substitua:
- CERT_ID: o identificador exclusivo do certificado que você quer revogar.
- POOL_ID: o nome do pool de ACs que emitiu o certificado.
- REVOCATION_REASON: o motivo da revogação do certificado.
A sinalização
--reason
é opcional. Para mais informações sobre essa flag, consulte --reason ou use o comandogcloud
abaixo com a flag--help
:gcloud privateca certificates revoke --help
Para mais informações sobre o comando
gcloud privateca certificates revoke
, consulte revogação de certificados do gcloud privateca.Para revogar um certificado usando o número de série, execute o seguinte comando:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Substitua:
- SERIAL_NUMBER: o número de série do certificado.
- POOL_ID: o nome do pool de ACs que emitiu o certificado.
- REVOCATION_REASON: o motivo da revogação do certificado.
Para mais informações sobre o comando
gcloud privateca certificates revoke
, consulte revogação de certificados do gcloud privateca.Quando solicitado para confirmar, você pode fazê-lo digitando 'Y':
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar o serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
A seguir
- Saiba como classificar e filtrar certificados.
- Saiba como implementar um responsável pela resposta de OCSP delegado.