Zertifikate widerrufen
Auf dieser Seite wird erläutert, wie Zertifikate widerrufen werden.
Certificate Authority Service unterstützt den Widerruf von Zertifikaten durch regelmäßige Veröffentlichung von Zertifikatssperrlisten. Sie können nur Zertifikate widerrufen, die von CA-Pools auf der Enterprise-Stufe ausgestellt wurden.
Hinweise
Sie benötigen die Certificate Authority Service Operation Manager (roles/privateca.caManager
) oder die CA Service Admin-Rolle (roles/privateca.admin
) für Identity and Access Management (IAM). Weitere Informationen zu den vordefinierten IAM-Rollen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen.
CRL-Veröffentlichung aktivieren
Wenn Sie die von einem Zertifizierungsstellenpool ausgestellten Zertifikate widerrufen möchten, müssen Sie die Veröffentlichung von Zertifikatssperrlisten im Zertifizierungsstellenpool aktivieren. Sie können die CRL-Veröffentlichung beim Erstellen eines Zertifizierungsstellenpools aktivieren. Wenn die CRL-Veröffentlichung ursprünglich deaktiviert ist, können Sie sie später aktivieren.
Nachdem Sie die Zertifikatssperrliste aktiviert haben, wird täglich eine neue Zertifikatssperrliste veröffentlicht, die sieben Tage lang gültig ist. Außerdem wird innerhalb von 15 Minuten nach dem Widerruf eines neuen Zertifikats eine neue Zertifikatssperrliste veröffentlicht.
So aktivieren Sie die Veröffentlichung von Zertifikatssperrlisten in einem Zertifizierungsstellenpool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Namen einer Zertifizierungsstelle aus dem Zertifizierungsstellenpool, den Sie ändern möchten.
Klicken Sie auf der Seite Zertifizierungsstelle auf Richtlinie bearbeiten.
Klicken Sie im angezeigten linken Bereich unter Veröffentlichungsoptionen auf die Ein/Aus-Schaltfläche Zugriffs-URL für die Zertifikatssperrliste in ausgestellten Zertifikaten veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID \
--publish-crl
Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.
Weitere Informationen zum Befehl gcloud privateca pools update
finden Sie unter gcloud privatecapools update.
CA Service erzwingt ein Limit von 500.000 nicht abgelaufenen widerrufenen Zertifikaten pro CRL.
Zertifikat widerrufen
CA Service ermöglicht das Widerrufen von Zertifikaten anhand der Seriennummer oder des Ressourcennamens, akzeptiert auch einen optionalen Grund. Nachdem ein Zertifikat widerrufen wurde, werden seine Seriennummer und der Widerrufsgrund in allen zukünftigen Zertifikatssperrlisten angezeigt, bis das Ablaufdatum des Zertifikats erreicht ist. Innerhalb von 15 Minuten nach dem Widerruf wird ebenfalls eine Out-of-Band-CRL generiert.
So widerrufen Sie ein Zertifikat:
Console
- Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
- Klicken Sie auf den Tab Privater Zertifikatsmanager.
- Klicken Sie in der Liste der Zertifikate in der Zeile des zu löschenden Zertifikats auf Mehr anzeigen.
- Klicken Sie auf Aufheben.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.
gcloud
Führen Sie den folgenden Befehl aus, um ein Zertifikat mit seinem Ressourcennamen zu widerrufen:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Ersetzen Sie Folgendes:
- CERT_ID: Die eindeutige Kennung des Zertifikats, das Sie widerrufen möchten.
- POOL_ID: Der Name des Zertifizierungsstellenpools, der das Zertifikat ausgestellt hat.
- REVOCATION_REASON: Der Grund für das Widerrufen des Zertifikats.
Das Flag
--reason
ist optional. Weitere Informationen zu diesem Flag finden Sie unter --reason. Alternativ können Sie den folgendengcloud
-Befehl mit dem Flag--help
verwenden:gcloud privateca certificates revoke --help
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca certificateaufzeichnung.Führen Sie den folgenden Befehl aus, um ein Zertifikat mit seiner Seriennummer zu widerrufen:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Ersetzen Sie Folgendes:
- SERIAL_NUMBER: Die Seriennummer des Zertifikats.
- POOL_ID: Der Name des Zertifizierungsstellenpools, der das Zertifikat ausgestellt hat.
- REVOCATION_REASON: Der Grund für das Widerrufen des Zertifikats.
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca certificateaufzeichnung.Wenn Sie zur Bestätigung aufgefordert werden, geben Sie „Y“ ein:
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Einfach loslegen (Go)
Richten Sie für die Authentifizierung beim CA Service Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Richten Sie für die Authentifizierung beim CA Service Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Richten Sie für die Authentifizierung beim CA Service Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Nächste Schritte
- Informationen zum Sortieren und Filtern von Zertifikaten
- Hier erfahren Sie, wie Sie einen delegierten OCSP-Antwortdienst implementieren.