Zertifikate widerrufen
Auf dieser Seite wird beschrieben, wie Sie Zertifikate widerrufen.
Der Zertifizierungsstellendienst unterstützt den Widerruf von Zertifikaten durch regelmäßige Veröffentlichung von Zertifikatssperrlisten (Certificate Revocation Lists, CRLs). Sie können nur Zertifikate widerrufen, die von CA-Pools in der Enterprise-Stufe ausgestellt wurden.
Hinweise
Sie benötigen die IAM-Rolle „Zertifizierungsstelle – Betriebsmanager“ (roles/privateca.caManager
) oder „Zertifizierungsstelle – Administrator“ (roles/privateca.admin
). Weitere Informationen zu den vordefinierten IAM-Rollen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Zuweisen einer IAM-Rolle finden Sie unter Einzelne Rolle zuweisen.
CRL-Veröffentlichung aktivieren
Wenn Sie die von einem CA-Pool ausgestellten Zertifikate widerrufen möchten, müssen Sie die CRL-Veröffentlichung für den CA-Pool aktivieren. Sie können die CRL-Veröffentlichung beim Erstellen eines CA-Pools aktivieren. Wenn die CRL-Veröffentlichung anfangs deaktiviert ist, können Sie sie später aktivieren.
Nachdem Sie die CRL-Veröffentlichung aktiviert haben, wird täglich eine neue CRL veröffentlicht, die 7 Tage lang gültig ist. Außerdem wird innerhalb von 15 Minuten nach jeder neuen Zertifikatswiderrufsmeldung eine neue CRL veröffentlicht.
Zertifikate enthalten die Erweiterung „CRL Distribution Point“ (CDP), die angibt, wo die CRL-Informationen für das Zertifikat zu finden sind. Wenn Sie die CRL-Veröffentlichung aktivieren, füllt der CA-Dienst standardmäßig die CDP-Erweiterung für alle von der Zertifizierungsstelle ausgestellten Zertifikate mit dem von der Zertifizierungsstelle verwendeten Cloud Storage-Veröffentlichungsort aus. Wenn Sie eigene Links in dieser Zertifikatserweiterung anzeigen lassen möchten, legen Sie die UserDefinedAccessUrls fest. Wenn Sie den Standardlink zum Cloud Storage-Veröffentlichungsort beibehalten und eigene Links hinzufügen möchten, fügen Sie den Cloud Storage-Link der Liste der von Ihnen angegebenen Links hinzu.
So aktivieren Sie die CRL-Veröffentlichung für einen CA-Pool:
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf den Tab CA-Poolmanager.
Klicken Sie auf den CA-Pool, den Sie bearbeiten möchten, oder auf den CA-Pool, der die CA enthält, die Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf
."Bearbeiten".
Klicken Sie auf Weiter, bis Sie den Abschnitt Veröffentlichungsoptionen konfigurieren erreichen.
Klicken Sie auf die Ein/Aus-Schaltfläche CRL im GCS-Bucket für CAs in diesem Pool veröffentlichen.
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl
Ersetzen Sie Folgendes:
- POOL_ID: der Name des CA-Pools.
- LOCATION: der Standort des CA-Pools. Eine vollständige Liste der Standorte finden Sie unter Standorte.
Weitere Informationen zum Befehl gcloud privateca pools update
finden Sie unter gcloud privateca pools update.
CA Service erzwingt ein Limit von 500.000 nicht abgelaufenen widerrufenen Zertifikaten pro CRL.
Zertifikat widerrufen
Mit CA Service können Zertifikate anhand der Seriennummer oder des Ressourcennamens widerrufen werden. Optional kann auch ein Grund angegeben werden. Nachdem ein Zertifikat widerrufen wurde, werden seine Seriennummer und der Widerrufsgrund in allen zukünftigen CRLs aufgeführt, bis das Zertifikat abläuft. Innerhalb von 15 Minuten nach dem Widerruf wird auch eine externe CRL generiert.
So widerrufen Sie ein Zertifikat:
- Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
- Klicken Sie auf den Tab Privater Zertifikatmanager.
- Klicken Sie in der Liste der Zertifikate in der Zeile des Zertifikats, das Sie löschen möchten, auf Mehr anzeigen.
- Klicken Sie auf Aufheben.
- Klicken Sie im Dialogfeld, das geöffnet wird, auf Bestätigen.
Führen Sie den folgenden Befehl aus, um ein Zertifikat anhand seines Ressourcennamens zu widerrufen:
gcloud privateca certificates revoke \ --certificate
CERT_ID \ --issuer-poolPOOL_ID \ --issuer-locationISSUER_LOCATION \ --reasonREVOCATION_REASON Ersetzen Sie Folgendes:
- CERT_ID: Die eindeutige Kennung des Zertifikats, das Sie widerrufen möchten.
- POOL_ID: der Name des CA-Pools, der das Zertifikat ausgestellt hat.
- ISSUER_LOCATION: der Standort des ausstellenden CA-Pools.
- REVOCATION_REASON: Der Grund für den Widerruf des Zertifikats.
Das Flag
--reason
ist optional. Weitere Informationen zu diesem Flag finden Sie unter –reason. Sie können auch den folgendengcloud
-Befehl mit dem Flag--help
verwenden:gcloud privateca certificates revoke --help
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca certificates revoke.Führen Sie den folgenden Befehl aus, um ein Zertifikat anhand seiner Seriennummer zu widerrufen:
gcloud privateca certificates revoke \ --serial-number
SERIAL_NUMBER \ --issuer-poolPOOL_ID \ --issuer-locationISSUER_LOCATION \ --reasonREVOCATION_REASON Ersetzen Sie Folgendes:
- SERIAL_NUMBER: die Seriennummer des Zertifikats.
- POOL_ID: der Name des CA-Pools, der das Zertifikat ausgestellt hat.
- ISSUER_LOCATION: der Standort des ausstellenden CA-Pools.
- REVOCATION_REASON: Der Grund für den Widerruf des Zertifikats.
Weitere Informationen zum Befehl
gcloud privateca certificates revoke
finden Sie unter gcloud privateca certificates revoke.Wenn Sie zur Bestätigung aufgefordert werden, geben Sie „Y“ ein:
You are about to revoke Certificate [projects/
PROJECT_ID /locations/CA_POOL_REGION /caPools/POOL_ID /certificates/CERT_ID ] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID /locations/CA_POOL_REGION /caPools/POOL_ID /certificates/CERT_ID ] atDATE_TIME .
Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Richten Sie zur Authentifizierung beim CA-Dienst die Standardanmeldedaten für Anwendungen ein. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Nächste Schritte
- Weitere Informationen zum Sortieren und Filtern von Zertifikaten
- Weitere Informationen zum Implementieren eines delegierten OCSP-Antwortdienstes