查看已颁发的证书
本页面介绍了如何使用 Google Cloud 控制台、Google Cloud CLI 和 Cloud 客户端库查看已颁发的证书。
查看已颁发的证书
控制台
在 Google Cloud 控制台中,前往 Certificate Authority Service 页面。
点击 CA 管理员标签页。
在证书授权机构页面上,点击 CA 的名称。
在证书授权机构详细信息页面底部,点击查看已颁发的证书以查看 CA 颁发的证书列表。
所有证书页面上会显示证书列表。显示的详细信息包括证书的状态、颁发的 CA、包含该 CA 的 CA 池、证书的失效日期等。
gcloud
如需列出 CA 池中的特定 CA 颁发的所有证书,请使用以下 gcloud
命令:
gcloud privateca certificates list --issuer-pool ISSUER_POOL --ca CA_NAME
如需详细了解 gcloud privateca certificates list
命令,请参阅 gcloud privatecacertificate list。
如需列出给定位置中所有 CA 的所有证书,请使用以下 gcloud
命令:
gcloud privateca certificates list --location LOCATION
Go
如需向 CA 服务进行身份验证,请设置应用默认凭据。如需了解详情,请参阅为本地开发环境设置身份验证。
Java
如需向 CA 服务进行身份验证,请设置应用默认凭据。如需了解详情,请参阅为本地开发环境设置身份验证。
Python
如需向 CA 服务进行身份验证,请设置应用默认凭据。如需了解详情,请参阅为本地开发环境设置身份验证。
查看单个证书的详细信息
控制台
在 Google Cloud 控制台中,前往 Certificate Authority Service 页面。
在 CA 管理器标签页下选择目标 CA。
点击 CA 名称。
在证书授权机构详细信息页面底部,点击查看已颁发的证书以查看已颁发证书的列表。
在操作列中,点击要下载的证书对应的
。在下载下,点击证书。您可以点击证书链来下载证书链。
gcloud
如需查看证书的完整说明,请运行以下命令:
gcloud privateca certificates describe CERT_NAME \
--issuer-pool POOL_ID
如需详细了解 gcloud privateca certificates describe
命令,请参阅 gcloud privatecacertificate describe。
如需将 PEM 编码的 X.509 证书链导出到文件,请运行以下命令:
gcloud privateca certificates export CERT_NAME \
--issuer-pool POOL_ID \
--include-chain \
--output-file certificate-file
如需详细了解 gcloud privateca certificates export
命令,请参阅 gcloud privateca certificate export。
证书的所有权证明
私钥的所有权证明可确保证书请求者保留该证书的私钥。仅当请求者根据 RFC 2986 提供 PKCS #10 CSR 时,CA Service 才会检查所有权证明。其他形式的证书请求(如 CertificateConfig 的请求)不会强制执行所有权证明。
接受证书的客户端应用负责验证证书持有者是否拥有该证书的私钥。在证书颁发期间强制执行所有权证明检查是一种深度防御形式,可防止出现异常的客户端。无论 CA 是否检查所有权证明,此类客户端的存在都会构成安全漏洞。
后续步骤
- 了解如何撤消证书。
- 了解如何对证书进行排序和过滤。