証明書を取り消す
このページでは、証明書を取り消す方法について説明します。
Certificate Authority Service は、証明書失効リスト(CRL)を定期的に公開することで、証明書の失効をサポートしています。取り消すことができるのは、Enterprise ティアの CA プールによって発行された証明書のみです。
準備
Certificate Authority Service オペレーション マネージャー(roles/privateca.caManager)または CA Service 管理者(roles/privateca.admin)の Identity and Access Management(IAM)ロールがあることを確認します。CA Service の事前定義された IAM ロールの詳細については、IAM を使用したアクセス制御をご覧ください。
IAM ロールの付与については、単一のロールを付与するをご覧ください。
CRL 公開を有効にする
CA プールによって発行された証明書を取り消すには、CA プールで CRL 公開を有効にする必要があります。CA プールの作成時に CRL 公開を有効にできます。最初に無効にした場合は、後で CRL 公開を有効にできます。
CRL 公開を有効にすると、新しい CRL が毎日公開され、7 日間有効になります。新しい証明書の取り消しから 15 分以内に、新しい CRL も公開されます。
CA プールで CRL 公開を有効にするには、次の手順を行います。
Console
Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
[CA プール マネージャー] タブをクリックします。
編集する CA プールをクリックするか、編集する CA を含む CA プールをクリックします。
[CA プール] ページで、 [編集] をクリックします。
[パブリッシュ オプションを設定する] セクションが表示されるまで [次へ] をクリックします。
[このプール内の CA の CRL を GCS バケットに公開する] の切り替えボタンをクリックします。
gcloud
次のコマンドを実行します。
gcloud privateca pools update POOL_ID \
--publish-crl
POOL_ID を、CA プールの名前に置き換えます。
gcloud privateca pools update コマンドの詳細については、gcloud privateca pools update をご覧ください。
CA Service では、CRL ごとに期限切れになっていない取り消し済みの証明書数の上限が 500,000 に制限されています。
証明書を取り消す
CA Service では、シリアル番号またはリソース名で証明書を取り消すことができます。また、任意の理由も受け入れます。証明書が取り消されると、証明書の有効期限が切れるまで、そのシリアル番号と失効理由が今後のすべての CRL に表示されます。取り消しから 15 分以内に帯域外 CRL も生成されます。
証明書を取り消すには、次の手順を行います。
Console
- Google Cloud コンソールの [Certificate Authority Service] ページに移動します。
- [プライベート証明書マネージャー] タブをクリックします。
- 証明書のリストで、削除する証明書の行にある [さらに表示] をクリックします。
- [取り消し] をクリックします。
- 表示されたダイアログで [登録解除] をクリックします。
gcloud
リソース名を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON以下を置き換えます。
- CERT_ID: 取り消す証明書の固有識別子。
- POOL_ID: 証明書を発行した CA プールの名前。
- REVOCATION_REASON: 証明書を取り消す理由。
--reasonフラグは省略可能です。このフラグの詳細については、--reason をご覧ください。または、--helpフラグを使用して次のgcloudコマンドを使用します。gcloud privateca certificates revoke --helpgcloud privateca certificates revokeコマンドの詳細については、gcloud privateca certificates revoke をご覧ください。シリアル番号を使用して証明書を取り消すには、次のコマンドを実行します。
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON以下を置き換えます。
- SERIAL_NUMBER: 証明書のシリアル番号。
- POOL_ID: 証明書を発行した CA プールの名前。
- REVOCATION_REASON: 証明書を取り消す理由。
gcloud privateca certificates revokeコマンドの詳細については、gcloud privateca certificates revoke をご覧ください。確認を求めるメッセージが表示されたら、「Y」と入力して確認します。
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Java
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
Python
CA Service への認証を行うには、アプリケーションのデフォルト認証情報を設定します。 詳細については、ローカル開発環境の認証の設定をご覧ください。
次のステップ
- 証明書の並べ替えとフィルタリング方法を学習する。
- 委任された OCSP レスポンダーを実装する方法を学習する。