Revoca certificati
In questa pagina viene spiegato come revocare i certificati.
Certificate Authority Service supporta la revoca dei certificati pubblicando periodicamente Elenchi revoche certificati (CRL). Puoi revocare solo i certificati emessi Pool di CA nel livello Enterprise.
Prima di iniziare
Assicurati di avere il gestore delle operazioni di Certificate Authority Service
(roles/privateca.caManager
) o l'amministratore del servizio CA
(roles/privateca.admin
) Ruolo Identity and Access Management (IAM). Per maggiori informazioni
informazioni sui ruoli IAM predefiniti
Per il servizio CA, vedi Controllo dell'accesso con IAM.
Per informazioni sulla concessione di un ruolo IAM, consulta Concessione di un singolo ruolo.
Abilita pubblicazione CRL
Per revocare i certificati emessi da un pool di CA, devi abilitare la pubblicazione dei CRL sul pool di CA. Puoi abilitare la pubblicazione di CRL durante la creazione di un pool di CA. Se inizialmente disabilitata, puoi abilitare la pubblicazione dei CRL in un secondo momento.
Dopo aver attivato la pubblicazione dei CRL, ogni giorno viene pubblicato un nuovo CRL e una validità di 7 giorni. Viene inoltre pubblicato un nuovo CRL entro 15 minuti da qualsiasi la revoca di un nuovo certificato.
Per abilitare la pubblicazione di CRL in un pool di CA, segui questi passaggi:
Console
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda Gestore del pool di CA.
Fai clic sul pool di CA che vuoi modificare o sul pool di CA con la CA che desideri modificare.
Nella pagina Pool di CA, fai clic su
Modifica.Fai clic su Avanti fino ad arrivare alla sezione Configura le opzioni di pubblicazione.
Fai clic sul pulsante di attivazione/disattivazione Pubblica CRL nel bucket GCS per le CA in questo pool.
gcloud
Esegui questo comando:
gcloud privateca pools update POOL_ID \
--publish-crl
Sostituisci POOL_ID con il nome del pool di CA.
Per maggiori informazioni sul comando gcloud privateca pools update
, consulta gcloud privateca pool update.
CA Service applica un limite di 500.000 risposte non scadute revocate certificati per CRL.
Revocare un certificato
CA Service consente di revocare i certificati per numero di serie o risorsa e accetta anche un motivo facoltativo. Se un certificato viene revocato, il numero il numero e il motivo della revoca siano riportati in tutti i futuri CRL fino al raggiunge la data di scadenza. Viene generato anche un CRL fuori banda 15 minuti dalla revoca.
Per revocare un certificato, segui questi passaggi:
Console
- Vai alla pagina Certificate Authority Service nella nella console Google Cloud.
- Fai clic sulla scheda Private Certificate Manager.
- Nell'elenco dei certificati, fai clic su Visualizza altro nella riga di il certificato che vuoi eliminare.
- Fai clic su Revoca.
- Nella finestra di dialogo che si apre, fai clic su Conferma.
gcloud
Per revocare un certificato utilizzando il nome della risorsa, esegui questo comando:
gcloud privateca certificates revoke \ --certificate CERT_ID \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Sostituisci quanto segue:
- CERT_ID: l'identificatore univoco del certificato che vuoi revocare.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- REVOCATION_REASON: il motivo della revoca del certificato.
Il flag
--reason
è facoltativo. Per ulteriori informazioni su questo flag, consulta --reason o utilizza il seguente comandogcloud
con il flag--help
:gcloud privateca certificates revoke --help
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta la pagina relativa alla reazione di certificati gcloud privatecacertified.Per revocare un certificato utilizzando il relativo numero di serie, esegui il comando seguente:
gcloud privateca certificates revoke \ --serial-number SERIAL_NUMBER \ --issuer-pool POOL_ID \ --reason REVOCATION_REASON
Sostituisci quanto segue:
- SERIAL_NUMBER: il numero di serie del certificato.
- POOL_ID: il nome del pool di CA che ha emesso il certificato.
- REVOCATION_REASON: il motivo della revoca del certificato.
Per ulteriori informazioni sul comando
gcloud privateca certificates revoke
, consulta la pagina relativa alla reazione di certificati gcloud privatecacertified.Quando ti viene chiesta conferma, digita "Y":
You are about to revoke Certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] Do you want to continue? (Y/n) Y Revoked certificate [projects/PROJECT_ID/locations/CA_POOL_REGION/caPools/POOL_ID/certificates/CERT_ID] at DATE_TIME.
Vai
Per eseguire l'autenticazione con CA Service, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Java
Per eseguire l'autenticazione con CA Service, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Python
Per eseguire l'autenticazione con CA Service, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Passaggi successivi
- Scopri come ordinare e filtrare i certificati.
- Scopri come implementare un risponditore OCSP delegato.