Afficher les certificats émis

Cette page explique comment afficher les certificats émis à l'aide de la consoleGoogle Cloud , de Google Cloud CLI et des bibliothèques clientes Cloud.

Vous ne pouvez afficher que les certificats émis par les autorités de certification de niveau Enterprise.

Afficher les certificats émis

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Authority Service.

    Accéder à Certificate Authority Service

  2. Cliquez sur l'onglet Gestionnaire d'autorités de certification.

  3. Sur la page Autorités de certification, cliquez sur le nom de l'autorité de certification.

  4. En bas de la page d'informations de l'autorité de certification, cliquez sur Afficher les certificats émis pour afficher la liste des certificats émis par l'autorité de certification.

    Une liste de certificats s'affiche sur la page Tous les certificats. Les détails affichés incluent l'état du certificat, l'autorité de certification émettrice, le pool d'autorités de certification contenant l'autorité de certification, la date d'expiration du certificat, etc.

gcloud

Pour lister tous les certificats émis par une autorité de certification spécifique dans un pool d'autorités de certification, utilisez la commande gcloud suivante :

gcloud privateca certificates list --issuer-pool ISSUER_POOL --issuer-location ISSUER_LOCATION --ca CA_NAME

Pour en savoir plus sur la commande gcloud privateca certificates list, consultez gcloud privateca certificates list.

Pour lister tous les certificats de toutes les CA dans un emplacement donné, utilisez la commande gcloud suivante :

gcloud privateca certificates list --location LOCATION

Go

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
	"google.golang.org/api/iterator"
)

// List Certificates present in the given CA pool.
func listCertificates(
	w io.Writer,
	projectId string,
	location string,
	caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"		// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"			// The CA Pool id in which the certificate exists.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	fullCaName := fmt.Sprintf("projects/%s/locations/%s/caPools/%s", projectId, location, caPoolId)

	// Create the ListCertificatesRequest.
	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#ListCertificatesRequest.
	req := &privatecapb.ListCertificatesRequest{Parent: fullCaName}

	it := caClient.ListCertificates(ctx, req)
	for {
		resp, err := it.Next()
		if err == iterator.Done {
			break
		}
		if err != nil {
			return fmt.Errorf("unable to get the list of cerficates: %w", err)
		}

		fmt.Fprintf(w, " - %s (common name: %s)", resp.Name,
			resp.CertificateDescription.SubjectDescription.Subject.CommonName)
	}

	return nil
}

Java

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 


import com.google.cloud.security.privateca.v1.CaPoolName;
import com.google.cloud.security.privateca.v1.Certificate;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import java.io.IOException;

public class ListCertificates {

  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Id of the CA pool which contains the certificates to be listed.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    listCertificates(project, location, poolId);
  }

  // List Certificates present in the given CA pool.
  public static void listCertificates(String project, String location, String poolId)
      throws IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      CaPoolName caPool =
          CaPoolName.newBuilder()
              .setProject(project)
              .setLocation(location)
              .setCaPool(poolId)
              .build();

      // Retrieve and print the certificate names.
      System.out.println("Available certificates: ");
      for (Certificate certificate :
          certificateAuthorityServiceClient.listCertificates(caPool).iterateAll()) {
        System.out.println(certificate.getName());
      }
    }
  }
}

Python

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 


import google.cloud.security.privateca_v1 as privateca_v1


def list_certificates(
    project_id: str,
    location: str,
    ca_pool_name: str,
) -> None:
    """
    List Certificates present in the given CA pool.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: name of the CA pool which contains the certificates to be listed.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool_path = caServiceClient.ca_pool_path(project_id, location, ca_pool_name)

    # Retrieve and print the certificate names.
    print(f"Available certificates in CA pool {ca_pool_name}:")
    for certificate in caServiceClient.list_certificates(parent=ca_pool_path):
        print(certificate.name)

Afficher tous les certificats émis dans votre projet

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Authority Service.

    Accéder à Certificate Authority Service

  2. Cliquez sur l'onglet Gestionnaire de certificats privé.

    Une liste de certificats s'affiche sur la page Tous les certificats.

    Les détails affichés incluent l'état du certificat, l'autorité de certification émettrice, le pool d'autorités de certification contenant l'autorité de certification, la date d'expiration du certificat, etc. Vous pouvez filtrer les certificats à l'aide de l'un des paramètres.

Afficher les détails d'un seul certificat

Console

  1. Dans la console Google Cloud , accédez à la page Certificate Authority Service.

    Accéder à Certificate Authority Service

  2. Sélectionnez votre autorité de certification cible dans l'onglet Gestionnaire d'autorités de certification.

  3. Cliquez sur le nom de l'autorité de certification.

  4. En bas de la page d'informations de l'autorité de certification, cliquez sur Afficher les certificats émis pour afficher la liste des certificats émis.

  5. Cliquez sur dans la colonne Actions du certificat que vous souhaitez télécharger.

  6. Sous Télécharger, cliquez sur Certificat. Vous pouvez télécharger la chaîne de certificats en cliquant sur Chaîne de certificats.

gcloud

Pour afficher la description complète d'un certificat, exécutez la commande suivante :

gcloud privateca certificates describe CERT_NAME --issuer-pool POOL_ID --issuer-location ISSUER_LOCATION

Pour en savoir plus sur la commande gcloud privateca certificates describe, consultez gcloud privateca certificates describe.

Pour exporter la chaîne de certificats X.509 encodée au format PEM vers un fichier, exécutez la commande suivante :

gcloud privateca certificates export CERT_NAME \
    --issuer-pool POOL_ID \
    --issuer-location ISSUER_LOCATION \
    --include-chain \
    --output-file certificate-file

Pour en savoir plus sur la commande gcloud privateca certificates export, consultez gcloud privateca certificates export.

Preuve de possession pour les certificats

La preuve de possession de la clé privée garantit que le demandeur d'un certificat détient la clé privée de ce certificat. Le service CA ne vérifie la preuve de possession que si le demandeur fournit une CSR PKCS #10 conformément à la RFC 2986. La preuve de possession n'est pas appliquée aux autres types de demandes de certificat, comme les demandes par CertificateConfig.

Il incombe aux applications clientes qui acceptent les certificats de valider si le titulaire du certificat possède la clé privée de ce certificat. L'application de vérifications de preuve de possession lors de l'émission de certificats constitue une forme de défense en profondeur pour se protéger contre les clients malveillants. L'existence de tels clients, que l'AC vérifie ou non la preuve de possession, peut constituer une faille de sécurité.

Étapes suivantes