Révoquer les certificats
Cette page explique comment révoquer des certificats.
Certificate Authority Service gère la révocation des certificats en publiant régulièrement des listes de révocation de certificats (LRC). Vous ne pouvez révoquer que les certificats émis par des pools d'autorités de certification du niveau Enterprise.
Avant de commencer
Assurez-vous de disposer du rôle Identity and Access Management (IAM) Certificate Authority Service Operation Manager (roles/privateca.caManager
) ou du rôle IAM (Identity and Access Management) d'administrateur CA Service (roles/privateca.admin
). Pour en savoir plus sur les rôles IAM prédéfinis pour le service de CA, consultez la page Contrôle des accès avec IAM.
Pour en savoir plus sur l'attribution d'un rôle IAM, consultez la page Attribuer un rôle unique.
Activer la publication de LRC
Pour révoquer les certificats émis par un pool d'autorités de certification, vous devez activer la publication LRC sur le pool d'autorités de certification. Vous pouvez activer la publication de LRC lorsque vous créez un pool d'autorités de certification. Si elle est initialement désactivée, vous pourrez activer la publication LRC ultérieurement.
Une fois que vous avez activé la publication de LRC, une nouvelle liste de révocation de certificats est publiée quotidiennement et reste valable sept jours. Une nouvelle LRC est également publiée dans les 15 minutes suivant toute révocation de nouveau certificat.
Pour activer la publication de LRC sur un pool d'autorités de certification, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur le nom d'une autorité de certification du pool d'autorités de certification que vous souhaitez modifier.
Sur la page Autorité de certification, cliquez sur Modifier la stratégie.
Dans le panneau de gauche qui s'affiche, cliquez sur le bouton Publier l'URL d'accès pour la liste de révocation de certificats dans les certificats émis sous Options de publication.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID \
--publish-crl
Remplacez POOL_ID par le nom du pool d'autorités de certification.
Pour plus d'informations sur la commande gcloud privateca pools update
, consultez la page gcloud privateca pools update.
CA Service applique une limite de 500 000 certificats révoqués non expirés par LRC.
Révoquer un certificat
CA Service permet de révoquer des certificats par numéro de série ou nom de ressource, et accepte également un motif facultatif. Lorsqu'un certificat est révoqué, son numéro de série et le motif de révocation apparaissent dans toutes les futures LRC, jusqu'à ce que le certificat atteigne sa date d'expiration. Une LRC hors bande est également générée dans les 15 minutes suivant la révocation.
Pour révoquer un certificat, procédez comme suit:
Console
- Accédez à la page Certificate Authority Service de la console Google Cloud.
- Cliquez sur l'onglet Gestionnaire de certificats privés.
- Dans la liste des certificats, cliquez sur Afficher plus sur la ligne du certificat que vous souhaitez supprimer.
- Cliquez sur Révoquer.
- Dans la boîte de dialogue qui s'ouvre, cliquez sur Confirmer.
gcloud
Pour révoquer un certificat à l'aide de son nom de ressource, exécutez la commande suivante:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Remplacez les éléments suivants :
- CERT_ID: identifiant unique du certificat que vous souhaitez révoquer.
- POOL_ID: nom du pool d'autorités de certification qui a émis le certificat.
- REVOCATION_REASON: motif de la révocation du certificat.
L'option
--reason
est facultative. Pour en savoir plus sur cette option, consultez --reason ou exécutez la commandegcloud
suivante avec l'option--help
:gcloud privateca certificates revoke --help
Pour plus d'informations sur la commande
gcloud privateca certificates revoke
, consultez la page gcloud privateca certificate révocation.Pour révoquer un certificat à l'aide de son numéro de série, exécutez la commande suivante:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Remplacez les éléments suivants :
- SERIAL_NUMBER: numéro de série du certificat
- POOL_ID: nom du pool d'autorités de certification qui a émis le certificat.
- REVOCATION_REASON: motif de la révocation du certificat.
Pour plus d'informations sur la commande
gcloud privateca certificates revoke
, consultez la page gcloud privateca certificate révocation.Lorsque vous êtes invité à confirmer votre choix, saisissez "Y":
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Étapes suivantes
- Découvrez comment trier et filtrer les certificats.
- Découvrez comment implémenter un répondeur OCSP délégué.