查看已颁发的证书
本页介绍了如何使用 Google Cloud 控制台、Google Cloud CLI 和 Cloud 客户端库查看已颁发的证书。
您只能查看企业级 CA 颁发的证书。
查看已颁发的证书
在 Google Cloud 控制台中,前往 Certificate Authority Service 页面。
点击 CA 管理器标签页。
在证书授权机构页面上,点击 CA 的名称。
在证书授权机构详情页面底部,点击查看已颁发的证书以查看 CA 颁发的证书列表。
所有证书页面上会显示证书列表。显示的详细信息包括证书的状态、颁发 CA、包含 CA 的 CA 池、证书的到期日期等。
如需列出 CA 池中特定 CA 颁发的所有证书,请使用以下 gcloud
命令:
gcloud privateca certificates list --issuer-pool ISSUER_POOL --issuer-location ISSUER_LOCATION --ca CA_NAME
如需详细了解 gcloud privateca certificates list
命令,请参阅 gcloud privateca 证书列表。
如需列出给定位置中所有 CA 的所有证书,请使用以下 gcloud
命令:
gcloud privateca certificates list --location LOCATION
如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证。
如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证。
如需向 CA Service 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为本地开发环境设置身份验证。
查看单个证书的详细信息
在 Google Cloud 控制台中,前往 Certificate Authority Service 页面。
在 CA Manager 标签页下,选择您的目标 CA。
点击 CA 名称。
在证书授权机构详情页面底部,点击查看已颁发的证书以查看已颁发的证书列表。
在要下载的证书对应的操作列中,点击
。在下载下,点击证书。您可以点击证书链下载证书链。
如需查看证书的完整说明,请运行以下命令:
gcloud privateca certificates describe CERT_NAME --issuer-pool POOL_ID --issuer-location ISSUER_LOCATION
如需详细了解 gcloud privateca certificates describe
命令,请参阅 gcloud privateca certificates describe。
如需将 PEM 编码的 X.509 证书链导出到文件,请运行以下命令:
gcloud privateca certificates export CERT_NAME \
--issuer-pool POOL_ID \
--issuer-location ISSUER_LOCATION \
--include-chain \
--output-file certificate-file
如需详细了解 gcloud privateca certificates export
命令,请参阅 gcloud privateca certificates export。
证书的所有权证明
私钥所有权证明可确保证书请求者持有相应证书的私钥。仅当请求者根据 RFC 2986 提供 PKCS #10 CSR 时,CA 服务才会检查所有权证明。系统不会强制执行其他形式的证书请求(例如 CertificateConfig 的请求)的所有权证明。
接受证书的客户端应用有责任验证证书持有人是否拥有该证书的私钥。在颁发证书期间强制执行所有权证明检查是一种纵深防御措施,可防止客户端行为异常。无论 CA 是否检查所有权证明,此类客户端的存在都可能构成安全漏洞。
后续步骤
- 了解如何撤消证书。
- 了解如何对证书进行排序和过滤。