Revoca certificati
In questa pagina viene spiegato come revocare i certificati.
Certificate Authority Service supporta la revoca dei certificati pubblicando periodicamente elenchi revoche certificati (CRL). Puoi revocare solo i certificati emessi dai pool di CA nel livello Enterprise.
Prima di iniziare
Assicurati di disporre del ruolo di Gestore operazioni di Certificate Authority Service (roles/privateca.caManager
) o di Amministratore di servizi CA (roles/privateca.admin
) Identity and Access Management (IAM). Per ulteriori informazioni sui ruoli IAM predefiniti per CA Service, consulta Controllo dell'accesso con IAM.
Per informazioni sulla concessione di un ruolo IAM, consulta Concessione di un singolo ruolo.
Abilita pubblicazione CRL
Per revocare i certificati emessi da un pool di CA, devi abilitare la pubblicazione dei CRL nel pool di CA. Puoi abilitare la pubblicazione dei CRL durante la creazione di un pool di CA. Se inizialmente è disabilitata, puoi abilitare la pubblicazione dei CRL in un secondo momento.
Dopo aver abilitato la pubblicazione dei CRL, viene pubblicato un nuovo CRL ogni giorno ed è valido per 7 giorni. Inoltre, viene pubblicato un nuovo CRL entro 15 minuti dalla revoca del nuovo certificato.
Per abilitare la pubblicazione dei CRL in un pool di CA:
Console
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sul nome di una CA del pool di CA che vuoi modificare.
Nella pagina Autorità di certificazione, fai clic su Modifica criterio.
Nel riquadro visualizzato a sinistra, fai clic sull'opzione di attivazione/disattivazione Pubblica l'URL di accesso per l'elenco di revoche dei certificati nei certificati emessi in Opzioni di pubblicazione.
gcloud
Esegui questo comando:
gcloud privateca pools update POOL_ID \
--publish-crl
Sostituisci POOL_ID con il nome del pool di CA.
Per maggiori informazioni sul comando gcloud privateca pools update
, vedi gcloud privateca pool update.
CA Service applica un limite di 500.000 certificati revocati non scaduti per CRL.
Revocare un certificato
CA Service consente la revoca dei certificati in base al numero di serie o al nome della risorsa e accetta anche un motivo facoltativo. Dopo la revoca di un certificato, il relativo numero di serie e il motivo della revoca vengono visualizzati in tutti i CRL futuri fino a quando il certificato non raggiunge la data di scadenza. Entro 15 minuti dalla revoca viene generato anche un CRL fuori banda.
Per revocare un certificato, segui questi passaggi:
Console
- Vai alla pagina Certificate Authority Service nella console Google Cloud.
- Fai clic sulla scheda Gestore certificati privato.
- Nell'elenco dei certificati, fai clic su Mostra altro nella riga del certificato che vuoi eliminare.
- Fai clic su Revoca.
- Nella finestra di dialogo che si apre, fai clic su Conferma.
gcloud
Per revocare un certificato utilizzando il nome della risorsa, esegui questo comando:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Sostituisci quanto segue:
- CERT_ID: l'identificatore univoco del certificato che vuoi revocare.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- REVOCATION_REASON: il motivo della revoca del certificato.
Il flag
--reason
è facoltativo. Per ulteriori informazioni su questo flag, consulta --reason o utilizza il seguente comandogcloud
con il flag--help
:gcloud privateca certificates revoke --help
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta gcloud privateca certificate remove.Per revocare un certificato utilizzando il relativo numero di serie, esegui questo comando:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Sostituisci quanto segue:
- SERIAL_NUMBER: il numero di serie del certificato.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- REVOCATION_REASON: il motivo della revoca del certificato.
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta gcloud privateca certificate remove.Quando ti viene chiesto di confermare, puoi farlo digitando "Y":
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Go
Per eseguire l'autenticazione a CA Service, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per eseguire l'autenticazione a CA Service, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per eseguire l'autenticazione a CA Service, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Passaggi successivi
- Scopri come ordinare e filtrare i certificati.
- Scopri come implementare un risponditore OCSP delegato.