Revoca certificati
Questa pagina spiega come revocare i certificati.
Il servizio di autorità di certificazione supporta la revoca dei certificati pubblicando periodicamente gli elenchi di revoche dei certificati (CRL). Puoi revocare solo i certificati emessi da pool di CA nel livello Enterprise.
Prima di iniziare
Assicurati di disporre del ruolo di Identity and Access Management (IAM) Gestore operazioni servizio CA
(roles/privateca.caManager
) o Amministratore servizio CA (roles/privateca.admin
). Per ulteriori informazioni sui ruoli IAM predefiniti per il servizio CA, consulta Controllo dell'accesso con IAM.
Per informazioni sulla concessione di un ruolo IAM, consulta Concedere un singolo ruolo.
Attivare la pubblicazione dei CRL
Per revocare i certificati emessi da un pool di CA, devi attivare la pubblicazione della CRL sul pool di CA. Puoi attivare la pubblicazione del CRL durante la creazione di un pool di CA. Se inizialmente disattivata, puoi abilitare la pubblicazione CRL in un secondo momento.
Dopo aver attivato la pubblicazione del CRL, viene pubblicato un nuovo CRL ogni giorno e rimane valido per 7 giorni. Viene inoltre pubblicato un nuovo CRL entro 15 minuti da ogni nuova revoca del certificato.
I certificati contengono un'estensione Punto di distribuzione dell'elenco revoche (CDP) che specifica dove è possibile trovare le informazioni CRL per il certificato. Per impostazione predefinita, quando attivi la pubblicazione dell'elenco di revoche, il servizio CA compila l'estensione CDP per tutti i certificati emessi dalla CA con la posizione di pubblicazione di Cloud Storage utilizzata dalla CA. Per impostare i tuoi link in modo che vengano visualizzati in questa estensione del certificato, imposta UserDefinedAccessUrls. Per mantenere il link alla posizione di pubblicazione di Cloud Storage predefinita e aggiungere anche i tuoi link, aggiungi il link a Cloud Storage all'elenco di link specificati.
Per attivare la pubblicazione dei CRL in un pool di CA:
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestore pool di CA.
Fai clic sul pool di CA che vuoi modificare o sul pool di CA che contiene la CA che vuoi modificare.
Nella pagina Pool di CA, fai clic su
.Modifica.
Fai clic su Avanti finché non arrivi alla sezione Configura le opzioni di pubblicazione.
Fai clic sul pulsante di attivazione/disattivazione Pubblica CRL nel bucket GCS per le CA in questo pool.
Esegui questo comando:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl
Sostituisci quanto segue:
- POOL_ID: il nome del pool di CA.
- LOCATION: la posizione del pool di CA. Per un elenco completo delle località, consulta Località.
Per ulteriori informazioni sul comando gcloud privateca pools update
, consulta
gcloud privateca pools
update.
CA Service applica un limite di 500.000 certificati revocati non scaduti per elenco revoche certificati.
Revocare un certificato
CA Service consente di revocare i certificati in base al numero di serie o al nome della risorsa e accetta anche un motivo facoltativo. Dopo la revoca di un certificato, il suo numero di serie e il motivo della revoca vengono visualizzati in tutti gli elenchi CRL futuri fino alla data di scadenza del certificato. Viene generata anche una CRL out-of-band entro 15 minuti dalla revoca.
Per revocare un certificato, svolgi i seguenti passaggi:
- Vai alla pagina Certificate Authority Service nella console Google Cloud.
- Fai clic sulla scheda Gestore certificati privati.
- Nell'elenco dei certificati, fai clic su Visualizza altro nella riga del certificato che vuoi eliminare.
- Fai clic su Revoca.
- Nella finestra di dialogo che si apre, fai clic su Conferma.
Per revocare un certificato utilizzando il nome della risorsa, esegui il seguente comando:
gcloud privateca certificates revoke \ --certificate
CERT_ID \ --issuer-poolPOOL_ID \ --issuer-locationISSUER_LOCATION \ --reasonREVOCATION_REASON Sostituisci quanto segue:
- CERT_ID: l'identificatore univoco del certificato che vuoi revocare.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- ISSUER_LOCATION: la posizione del pool di CA emittente.
- REVOCATION_REASON: il motivo della revoca del certificato.
Il flag
--reason
è facoltativo. Per ulteriori informazioni su questo flag, consulta --reason o utilizza il seguente comandogcloud
con il flag--help
:gcloud privateca certificates revoke --help
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta gcloud privateca certificates revoke.Per revocare un certificato utilizzando il relativo numero di serie, esegui il seguente comando:
gcloud privateca certificates revoke \ --serial-number
SERIAL_NUMBER \ --issuer-poolPOOL_ID \ --issuer-locationISSUER_LOCATION \ --reasonREVOCATION_REASON Sostituisci quanto segue:
- SERIAL_NUMBER: il numero di serie del certificato.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- ISSUER_LOCATION: la posizione del pool di CA emittente.
- REVOCATION_REASON: il motivo della revoca del certificato.
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta gcloud privateca certificates revoke.Quando ti viene chiesto di confermare, puoi farlo inserendo "Y":
You are about to revoke Certificate [projects/
PROJECT_ID /locations/CA_POOL_REGION /caPools/POOL_ID /certificates/CERT_ID ] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID /locations/CA_POOL_REGION /caPools/POOL_ID /certificates/CERT_ID ] atDATE_TIME .
Per autenticarti al servizio CA, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per autenticarti al servizio CA, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Per autenticarti al servizio CA, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Passaggi successivi
- Scopri come ordinare e filtrare i certificati.
- Scopri come implementare un risponditore OCSP delegato.